Über EISA-Projekt und EISA Audit

Das vorliegende Kapitel "Über EISA-Projekt" ist eine Zusammenfassung der wesentlichen Eigenschaften, Methoden und Vorgehensweisen, welche in EISA-Projekten zum Einsatz kommen, der üblichen Einsatzgebiete und der Vorteile. 

EISA-Projekt ist eine Kombination aus Beratung und computer-gestützten Methoden zur IT-Sicherheitsanalyse von beliebigen IT-Bereichen im Unternehmen.

Themenübersicht

Zielgruppe

Zielgruppe sind Vorstand, Management und andere IT-Sicherheitsverantwortliche in Unternehmen oder Institutionen, die wissen wollen, wie sicher die bisher ergriffenen Massnahmen des Unternehmens oder des von ihnen verantworteten IT-Bereiches sind und wo es Verbesserungsmöglichkeiten und Einsparpotentiale gibt. Ziel ist es, einen Zustand von "angemessener" Sicherheit zu erreichen.

Entscheidungsträger und -gremien können sich mit wertvollen entscheidungsrelevanten Informationen versorgen lassen, Entscheidungen vorbereiten, absichern, umsetzen und die Umsetzung anschließend kontrollieren und wenn nötig korrigierend eingreifen.

Verantwortung für IT-Sicherheit - Wer hat die?

Der Vorstand oder die Geschäftsleitung trägt die Verantwortung für die IT-Sicherheit des gesamten Unternehmens. Die Bereichsleiter sind für ihren jeweiligen Aufgabenbereich verantwortlich. Damit der Sicherheitsverantwortliche Entscheidungen aufgrund sicherer Informationen treffen kann, müssen diese Informationen entsprechend strukturiert angeboten werden.

Die IT-Sicherheitspolitik

Da die IT-Sicherheitspolitik aus der Unternehmenspolitik abgeleitet ist, kann eine Beeinträchtigung der IT-Sicherheitsziele auch eine Beeinträchtigung der Erreichung der Unternehmensziele verursachen. Die für das Ergebnis verantwortliche Unternehmensleitung wird daher ein elementares Interesse haben, die Einhaltung der IT-Sicherheitsziele zu gewährleisten.

Zusammenhang zwischen Geschäftspolitik und IT-Sicherheitspolitik   [klicken Sie in das Bild um es zu vergrössern]

Die IT-Sicherheitsziele

Der IT-Sicherheitsstatus ist Messgrösse für den Erfüllungsgrad der grundlegenden IT-Sicherheitsziele. Die IT-Sicherheitsziele werden in der IT-Sicherheitspolitik für diese Umgebung festgelegt.  Wir unterscheiden folgende fünf IT-Sicherheitsziele:

• Vertraulichkeit
• Integrität
• Verfügbarkeit
• Authentizität
• Verbindlichkeit

Was ist EISA-Projekt?

EISA-Projekt ist ein urheberrechtlich geschütztes Consulting Verfahren für die unternehmensweite Sicherheitsanalyse.

EISA-Projekt ist eine Sicherheitsüberprüfung (Audit) gegen Standards wie z.B. ISO 27001 im organisatorischen und technischen Umfeld. Bewährte Beratungstechniken werden mit regelbasiertem Expertenwissen in Form von Datenbanken kombiniert. Die Methode ist für viele Branchen und Unternehmen die beste Wahl, wenn der aktuelle Sicherheitsstatus festgestellt und angemessene Massnahmen ergriffen werden sollen.

EISA-Projekt ist ein computer-gestütztes Verfahren zur Messung der IT-Sicherheit im Unternehmen. Die Leistung dieser auf dem Markt einmaligen Methode ergibt sich durch Kombination von quaifizierter IT-Sicherheitsberatung und modernsten Computerverfahren und Datenbanktechniken. 

Das Ergebnis von EISA-Projekt ist ein IT-Sicherheitsbericht zum Stand der IT-Sicherheit in ausgewählten IT-Bereichen des Unternehmens. Der Kunde erhält ein Zertifikat, welches ihm die festgestellte Sicherheit seines Unternehmens bestätigt. 

Der Massnahmenkatalog ist zusammen mit den Referenzleitfäden ein Minimal- IT-Sicherheitskonzept, welches in weiteren Schritten nur noch verfeinert werden muss, um ein "echtes" IT-Sicherheitskonzept zu erhalten. 

Mehr...

Instrument zur Steuerung und Kontrolle der IT-Sicherheit

Im Zuge des EISA-Projektes wird eine Berichtshierarchie etabliert, die der organisatorischen Struktur des Untersuchungsbereichs folgt. Die Unternehmensleitung erhält schlussendlich eine Aussage über den aktuellen IT-Sicherheitsstatus des gesamten Untersuchungsbereichs, die IT-Bereichsleiter Aussagen über den IT-Sicherheitsstatus ihres jeweiligen Aufgabenbereichs bis hinunter zu den einzelnen IT-Systemen, sofern diese Gegenstand der Untersuchung waren.

Durch bereichsübergreifende Auditierung (IT-Security-Benchmarking) kann eine Art Sicherheitswettbewerb entstehen. Die Bereiche müssen sich etwas einfallen lassen, ihre gesteckten Ziele zu erfüllen, da jetzt der Vergleich untereinander möglich ist.

IT-Sicherheitsstatus (Gruppenübersicht)   [klicken Sie in das Bild um es zu vergrössern]

Es kann vom Management veranlasst werden, diesen IT-Sicherheitsstatus regelmäßig fortzuschreiben, um eine ständige Kontrolle darüber zu erhalten, ob die implementierten Massnahmen noch wirksam sind und wie sich die IT-Sicherheit über eine längere Periode weiter entwickelt.

Initiierung des IT-Sicherheitsprozesses - Wie fange ich an?

Das EISA-Projekt ist eine Beratungsdienstleistung und dem Wesen nach ein IT-Sicherheitsaudit, bei dem in einem initialen Schritt eine Bestandsaufnahme der IT-Sicherheit in ausgewählten IT-Bereichen erfolgt und im finalen Schritt die Entscheidung des Managements stehen kann, eine globale IT-Sicherheitspolitik im Unternehmen zu etablieren. Die Entscheidung des Managements ist gleichzeitig wiederum ein initaler Schritt für weitere Aktivitäten. Es entsteht ein fortlaufender, sich ständig verbessender Prozess (Rekurision).

Initiierung des IT-Sicherheitsprozesses   [klicken Sie in das Bild um es zu vergrössern]

Vorgehensweise im EISA-Projekt

In einem Workshop werden einige oder alle IT-Bereiche im Unternehmen ausgewählt und anschließend überprüft und bzgl. angenommener oder tatsächlich vorhandener Risiken für die Erfüllung der IT-Sicherheitsziele bewertet. Nahezu beliebige organisatorische Strukturen sind abbildbar und gleichzeitig auditierbar.  

Für jeden IT-Bereich wird der aktuelle IT-Sicherheitsstatus festgestellt. Es können Vergleiche im Unternehmen zwischen den IT-Bereichen (IT-Security-Benchmarking) sowie Periodenvergleiche zur Erfolgsmessung der umgesetzten Massnahmen angestellt werden.

Projektstruktur entsprechend der org. Verantwortung   [klicken Sie in das Bild um es zu vergrössern]

Unter IT-Bereich wird in dieser Dokumentation ein organisatorischer Verantwortungsbereich für Informations- und Kommunikationstechnik (IuK bzw. ICT) verstanden, sowie Personal oder Organisation allgemein. 

Beispiele für IT-Bereiche sind ein einzelnes IT-System, ein Gebäude, die Infrastruktur in einem Gebäude, eine Abteilung, ein Unternehmensstandort, ein Tochterunternehmen, ein Outsourcing-Partner, ein Geschäftspartner (z.B. ein Zulieferer), ein Geschäftsbereich in dem mehrere Betriebsstätten zusammengefasst sind oder alle Teilunternehmen, Standorte oder Betriebsstätten eines Konzerns zusammengenommen.

Die Verantwortung für IT-Sicherheit trägt immer ein Mensch. Kein technisches System kann Ihnen diese Haftpflicht abnehmen. Wenn aufgrund von Sicherheitsmängeln Andere zu Schaden kommen, dann wird entsprechend der Hierarchie von oben nach unten verfahren, bis ein Verantwortlicher identifiziert ist. Alle IT-Verantwortlichen haben deshalb ein elementares Interesse an der ausreichenden Absicherung Ihres Bereiches.

EISA-Projekt dokumentiert für jeden auditierten IT-Bereich in wieweit die minimalen Anforderungen an die IT-Sicherheit erfüllt sind. Sofern Schwachstellen und Mängel erkannt wurden, kann der IT-Verantwortliche dies gegenüber den höheren Instanzen nachweisen und Unterstützung in seinen Aufgaben einfordern.

Was ist zu überprüfen?

In einem vorbereitenden Workshop werden aus vorgegebenen Themenkatalogen die Prüfungshemen (Aspekte) zu den einzelnen IT-Bereichen ausgewählt. Die Fragenlisten für die Interviews enthalten dann die ausgewählten Themen. Zu jedem Thema gibt es eine oder mehrere Fragen (checkpoints). Die Fragen müssen mit "Ja" bzw. "Nein" beantwortet werden. Zusätzliche Informationen werden in Form von Kommentaren erfasst. Diese Textinformationen sind ganz besonders wichtig, da der Analyst dann den Sachverhalt besser einschätzen kann.

Meist gilt die Antwort "Ja - aber..." oder "Nein - aber...". Nur ein IT-Sicherheitsexperte kann einschätzen, welche Konsequenzen dies für die IT-Sicherheit im Einzelfall hat. Sie können zwar die Erhebung in Eigenregie selbst durchführen, nicht jedoch die anschließende Sicherheitsanalyse.

Der Themenkatalog "IT-Grundschutz" umfasst die organisatorische IT-Sicherheit für ein heterogenes IT-Umfeld und lehnt sich an das IT-Grundschutzhandbuch der Deutschen BSI an. Die Kompatibilität zu anderen IT-Sicherheitsstandards wie z.B. ISO 27001 wird durch ergänzende Checklisten und Arbeitsmittel hergestellt.

Themenkataloge zu Allgemeine Regelungen , Netze, Komunikation und Telearbeit   [klicken Sie in ein Bild um es zu vergrössern]

Wie überprüfen wir?

Die Datenerhebung erfolgt auf der Ebene der sogenannten Scopes. Hierunter versteht man einen Sicherheitsbereich, der im einfachsten Fall einfach ein IT-System, im komplexen Fall das gesamte Sicherheitsmanagement (Organisatiorische Sicherheit)  des Unternehmens sein kann. Auch Gebäude und Aussenanlagen (Perimeterschutz) werden mit Hilfe eines ergänzenden Verfahrens erfasst und deren Sicherheit mit EISA-Projekt bewertet 

(Siehe auch Holistic Safety Examination: www.hse-projekt.de).

Mit Hilfe von EISA-Projekt können Sie Ihre Sicherheitsleitlinie, deren Umsetzung in Form von Konzepten, Sicherheitsmassnahmen und Regelungen überprüfen lassen (Organisatorische Sicherheit).

Mit Hilfe von EISA-Projekt können Sie die Umsetzung der Sicherheitskonzeption in die gelebte Wirklichkeit überprüfen. Wieviel Sicherheit kommt beim IT-System oder beim einzelnen Mitarbeiter an?

Erhebungsmethode ist ein checklistengestütztes Interview, welches von Ihren Mitarbeitern auch in Eigenregie durchgeführt werden kann, z.B. um Kosten zu sparen oder Mitarbeiter zu schulen. Das Interview kann optional durch Stichproben und / oder technische Audits ergänzt werden, um die Datenbasis zu verbessern und zu verfeinern.

Die Eigenregie wird durch Leitfäden unterstützt, die Hinweise zur Selbstbefragung geben. Wir empfehlen das Interview durch externe Berater vornehmen zulassen, um auch Antworten die nicht gefragt worden sind aufzunehmen und ein umfassenderes Bild zu erhalten.

Checkliste, bestehend aus Fragenlisten und Referenzleitfaden   [klicken Sie in ein Bild um es zu vergrössern]

Die Checklisten sind in deutscher und englischer Sprache verfügbar. Die Checklisten sind Hilfsmittel bei unseren Dienstleistungen und können zur Zeit nicht separat bezogen werden. Wir bitten um Verständnis.

Im Anschluss an die Datenerhebung werden alle bekannten Informationen von unseren qualifizierten IT-Sicherheitsexperten einer Risikomatrix zugeordnet und mit Hilfe computer-gestützter Methoden analysiert. Ergebnis ist der IT-Sicherheitsstatus für alle überprüften IT-Bereiche, Themen und IT-Sicherheitsziele.

Ergebnis I - Der IT-Sicherheitsstatus

Die "mögliche" IT-Sicherheit ist durch das SOLL-Konzept festgelegt. In einer Art Bestandsaufnahme wird das IST-Konzept festgestellt. Mit Hilfe des Referenz-Vergleichsverfahrens werden die im SOLL-IST-Vergleich festgestellten Abweichungen risikobewertet. Das Ergebnis ist der IT-Sicherheitsstatus.

Mass für die erreichte IT-Sicherheit in einem Untersuchungsbereich ist der IT-Sicherheitsstatus, der das Verhältnis von gemessener IT-Sicherheit und möglicher IT-Sicherheit angibt. Der Wert wird als Prozentwert dargestellt. 0% entspricht „Unsicher“ und 100% entspricht „Sicher“.

Der IT-Sicherheitsstatus (hier: Gesamtstatus)   [klicken Sie in das Bild um es zu vergrössern]

100% bedeutet, das alle minimalen Anforderungen an die IT-Sicherheit bei den geprüften Themen erfüllt sind. Ihr IT-Bereich kann "besser" sein, dies wird im IT-Sicherheitsbericht durch entsprechende Kommentare ausgedrückt.

Ergebnis II - Minimal-Sicherheitskonzept

Der IT-Sicherheitsbericht enthält Massnahmenempfehlungen für IT-Sicherheitsmassnahmen. Zusammen mit den Referenzleitfäden bilden diese ein Minimal-Sicherheitskonzept für Ihre auditierten IT-Bereiche. 

Sie können selbst entscheiden, ob diese Empfehlungen für Sie ausreichend sind oder ob Sie eine weitergehende Verfeinerung wünschen. Meist sind einige der empfohlenen Massnahmen ohne grossen Aufwand in Ihrer Organisation umzusetzen, sodass der IT-Sicherheitsstatus um bis zu 15% (Typisch nach unseren bisherigen Erfahrungen) verbessert werden kann.

Unsere Leistungen

• Organisatorisches IT-Sicherheitsaudit mit Datenerhebung, Risikobewertung und IT-Sicherheitsanalyse
• Überprüfung der IT-Sicherheitspolitik und -konzeption
• Optional Stichproben zur Absicherung der Antworten
• Optional technische Ergänzungsaudits bei einzelnen IT-Systemen
• Datenerhebung per Interview oder in Eigenregie des Kunden
• Hilfsmittel sind Umfangreiche Fragelisten und Leitfäden
• Nahezu beliebige organisatorische Strukturen sind abbildbar
• Auswertung (Risikobewertung und Sicherheitsanalyse) erfolgt computergestützt
• Berichtshierarchie (Summaries) entsprechend den Verantwortungsstufen

ferner erhalten Sie bei uns

• Internationales Team von IT-Sicherheitsspezialisten
• 2 Sprachen im Bericht (Deutsch oder alternativ Englisch)
• Gesetzeskonform zu deutschen und europäischen Richtlinien
• Fragenlisten mit über 7.000 Fragen in ca. 600 Themengebieten zur organisatorischen und technischen IT-Sicherheit sowie zu Infrastruktur-Sicherheit (Gebäudeschutz).

Erweiterungsmöglichkeiten

• Sofortmassnahmen
• Einführung eines IT-Sicherheitsprozesses
• Etablierung einer unternehmensweiten IT-Sicherheitspolitik und -konzeptionierung
• Trainings

Unterstützte IT-Sicherheitsstandards

• IT-Grundschutzhandbuch des Deutschen BSI
• ISO 27001

Ihr Vorteil und Ihr Nutzen

• Verbesserung der Entscheidungsqualität
• Das Management trifft Entscheidungen aufgrund sicherer Informationen und Empfehlungen
• Beitrag zur Risikovorsorge
• Stärken und Schwächen der IT-Sicherheitspolitik werden erkannt
• Strukturelle Mängel hinsichtlich IT-Sicherheit in der IT-Organisation können beseitigt werden
• Einsparpotential durch zielgerichteten Resourcensatz bei den Massnahmen
• Investitionsschutz - Die Vergleichbarkeit und Wiederholbarkeit über alle untersuchten IT-Bereiche, auch über mehrere Perioden hinweg ist gewährleistet
• Kostengünstige Methode, bis zu 50% Ersparnis gegenüber anderen Audits bei gleichzeitig hoher Qualität der Aussagen.

Weitere Informationen

Im Kapitel "Vorgehensweisen" finden Sie detailiertere Informationen zur Vorgehensweise und Verfahren in EISA-Projekten.

Im Kapitel "Ein Projektbeispiel" wird ein Audit in Form eines EISA-Projekt beispielhaft vorgestellt und Sie können sich einen "echten" Ergebnisbericht dazu online herunterladen. Der Bericht besteht aus Management-Zusammenfassung und Detail-Reports. Alle Dokumente sind untereinander verlinkt.

ür weitere Auskünfte oder für einen Termin zur Kontaktaufnahme schreiben Sie uns bitte ein Mail, welches wir zeitversetzt aber kurzfristig beantworten werden.