IT-Richtlinien-Rahmenwerk auf der Grundlage von COBIT 5 

 
Download Article

Datenschutz- und IT-Richtlinien haben vieles gemeinsam: Beide gelten als wichtig und Unternehmen sind darauf bedacht, diese zu implementieren, doch nicht alle Beteiligten verstehen voll und ganz, welche Auswirkungen und Konsequenzen es haben kann, wenn diese falsch verstanden werden. Datenschutz- und IT-Richtlinien sind Konzepte, die sich ständig weiterentwickeln – was heute als akzeptable Richtlinie gilt (oder als Datenschutzproblem), könnte schon morgen nicht mehr ausreichend sein. Ebenso hat sich auch COBIT, das 1996 als Audit-Framework entstand, 2012 zu einem Framework für Governance und Verwaltung der Unternehmens-IT (GEIT) entwickelt, das – neben anderen Aspekten – Richtlinien als fundamentale Faktoren zur Umsetzung einer angemessenen Governance und Verwaltung der IT einsetzt.

In diesem Artikel wird eine moderne Heran-gehensweise zur Gestaltung eines Richtlinien-Frameworks unter Verwendung der Prinzipien von COBIT 5 erläutert, die eine zuverlässige und systematische Möglichkeit zur Gewährlei-stung bietet, um Richtlinien als Instrumente zur Implementierung akzeptierter Business-Strategien zu verwenden. Ein Richtlinien-Framework liefert eine logische Struktur zur Organisation und Definition von Prinzipien. Es liefert ferner zusätzliche Dokumentation zur Unterstützung der Implementierung und Durchsetzung der Richtlinien.

Ziel dieses Artikels ist es, eine strukturierte Methodologie darzustellen, die Unternehmen bei der Entwicklung und Implementierung eines effektiven Richtlinien-Rahmenwerks hilft.

Entwicklung Von IT-Richtlinien

IT-Richtlinien helfen, das vom Unternehmen gewünschte Verhalten richtig zu artikulieren, Risiken zu mitigieren und damit zum Erreichen der Unternehmensziele beizutragen. Die Ent-stehung und Entwicklung von IT-Richtlinien kann durch den Vergleich der folgenden beiden Dokumente veranschaulicht werden: Generally Accepted Principles and Practices for Securing Information Technology Systems1 und Information Security Handbook: A Guide for Managers.2

Das erste Dokument, veröffentlicht im September 1996, erläutert, dass eine Richtlinie neben anderen Aspekten Regeln für bestimmte Systeme definieren und festlegen sollte. Im zweiten Doku-ment, veröffentlicht im Oktober 2006, werden Richtlinien im Kontext der Informationssicher-heit als Aggregat von Direktiven, Regeln und Praktiken definiert, welche beschreiben, wie ein Unternehmen Informationen verwaltet, schützt und verteilt.

Die Konfiguration und die Standardisierung von IT-Systemen und IT-Infrastruktur hatten 1996 Priorität. 10 Jahre später haben Unterneh-men erkannt, dass der Nutzeffekt aus der IT eine angemessene Verwaltung und Steuerung der Informationsressourcen erfordert.

Ferner ist deutlich geworden, dass ein Schei-tern bei der Gestaltung und Imple-mentierung von stabilen Geschäftspro-zessen schnel-ler dazu führt, dass auf Technologien basierende Kontrollen ineffektiv werden. So verweist zum Beispiel der Verizon 2011 Payment Card Industry Compliance Report3 darauf, dass es Unterneh-men, die die Anforderung 12 des Payment Card Industry Data Security Standard (PCI DSS) (Umsetzung von Sicherheitsrichtlinien) nicht oder nur mit Schwierigkeiten erfüllen, nicht gelingt, andere PCI-Anforderungen voranzutrei-ben und erfolgreich zu implementieren.

Herausforderungen im Zusammenhang Mit IT-Richtlinien

Die Einführung von IT-Richtlinien in einer sich schnell verän-dernden Umgebung ist keine einfache Aufgabe, jedoch häufig eine notwendige. Unternehmen erkennen möglicherweise nicht in vollem Umfang, welche Vorteile, Einschränkungen und Risikofaktoren mit neu aufkommenden Technologien verbunden sind. Zum Beispiel erfordert die Auswahl einer Cloud-Computing-Lösung die Verwaltung der entsprechen-den Risiken und die Umsetzung eines Kurses, mit dem sich Geschäftsvorteile in einer Umgebung mit vielen Unsicherhei-ten generieren lassen.

Mit IT-Richtlinien verbundene Aktivitäten sind nicht auf die IT beschränkt. Die durchgängige Integration von IT-Prinzipien in Geschäftsprozesse gewährleistet eine bessere Abdeckung und Kooperation im Unternehmen (d. h., die Verantwortlichkeiten und Autoritäten sind klar definiert), reduziert die Doppelung von Kontrollfunktionen zwischen unterschiedlichen Teams und bietet eine konsistente Herange-hensweise zur Umsetzung von Geschäftsanforderungen.

Schließlich, wie im Information Security Management Handbook dargestellt, sind die Menschen das Wichtigste in jedem Unternehmen – ihre individuellen Eigenschaften, z. B. Integrität, ethische Werte und Kompetenzen.4 Daher sollten die Richtlinien von allen Beteiligten kommuniziert, verstanden und unterstützt werden; andernfalls sind sie nutzlos.

Richtlinien Als Enabler

Abbildung 1Mit COBIT 5 werden sieben „Enabler“ (siehe Abbildung 1) als unterstützende Tools für die Implementierung von GEIT eingeführt.5 Die vier Dimensionen (Anspruchsgruppen, Ziele, Lebenszyklus und bewährte Methoden) des Enablers „Prinzi-pien, Richtlinien und Frameworks“ werden in den folgenden Abschnitten erläutert, und es werden Vorschläge für eine systematische Methode der Gestaltung und Implementierung eines Richtlinien-Rahmenwerks gegeben.

COBIT 5 gewährleistet, dass ein Richtlinien-Rahmenwerk den Anforderungen der Anspruchsgruppen entspricht, den gesamten Prozess umfasst (nicht nur die IT-Funktion) und die zusätzlich nötige Dokumentation bereitstellt, damit die Governance- und Management-Ziele und -Aktivitäten zuver-lässig realisiert werden.

Dimension der Anspruchsgruppen
Es gibt Anspruchsgruppen, die Richtlinienprinzipien defi-nieren und festlegen, und es gibt andere, die diese Prinzipien befolgen oder implementieren.

Die erste Gruppe definiert und bestimmt Richtlinienprin-zipien, wobei die allgemeinen Governance-Prinzipien des Unternehmens berücksichtigt und interne und externe Fak-toren (z. B. die Regulierung) sowie die Geschäftsausrichtung und Unternehmenskultur analysiert und identifiziert werden. Der Vorstand und die Unternehmensleitung gehören zu dieser Gruppe. Darüber hinaus sind sie dafür verantwortlich, Anwei-sungen zu Governance-Zielen sowie für die Kommunikation und Implementierung dieser zu erteilen und die Kernkompo-nenten eines Richtlinien-Rahmenwerks zu definieren.

Die Kernkomponenten eines Richtlinien-Rahmenwerks sind:

  • Einsetzung von Personen, die die Befugnis zur Genehmigung von Richtlinien und zugehörigen Verantwortlichkeiten haben
  • Festlegung der Konsequenzen für den Fall, dass bestehende Richtlinien nicht eingehalten werden
  • Definition eines Prozesses für die Handhabung von Ausnah-men zu Richtlinien
  • Definition einer Methode zur Messung und Überwachung der Einhaltung von Richtlinien
  • Definition des Geltungsumfangs der Richtlinie und der Beteiligten, die die Richtlinie befolgen müssen Ängste, Unsicherheiten und Zweifel anderer Beteiligter werden durch die folgenden Richtlinienprinzipien reduziert.

Dimension der Ziele
Ziele sind Erklärungen, die auf den zuvor definierten Richtlinienprinzipien beruhen und das gewünschte Ergebnis beschreiben. Beispiele für Zielbeschreibungen sind:

  • Bereitstellung eines Tools zur Personalorientierung.
  • Dokumentation der entsprechenden Bevollmächtigungen und Definition der Grenzen der Autoritäts- und Verant-wortungsbereiche.
  • Nutzung als Dokumentationsquelle für die Einhaltung regulatorischer und gesetzlicher Anforderungen.
  • Schutz geistigen Eigentums und Sicherung der Geschäfts-fortführung.
  • Verbesserung der Übersichtlichkeit und Dynamik von Projekten und Betriebsabläufen.

In Bezug auf Richtlinien sollten Ziele und Prinzipien verknüpft sein, um zu gewährleisten, dass die Anforderungen der Anspruchsgruppen berücksichtigt werden.

Dimension des Lebenszyklus
Der Richtlinien-Lebenszyklus kombiniert die Richtlinienprin-zipien und -ziele, die zuvor definiert wurden, und umfasst die folgenden Phasen:

  • Planung – In dieser Phase wird die Grundlage für ein Richtlinien-Framework etabliert, wobei die zuvor defi-nierten Dimensionen der Anspruchsgruppen und Ziele berücksichtigt werden. Üblicherweise sind bei Unternehmen bereits einige Richtlinien vorhanden. Daher hilft die Ermitt-lung von Diskrepanzen zwischen Governance-Prinzipien und aktuellen, gültigen Richtlinien bei der Umgestaltung und Verbesserung des verwendeten Rahmenwerks. In dieser Phase wird eine logische Dokumentationsstruktur definiert, die die Richtlinienprinzipien unterstützt und verdeutlicht. Der optimale Dokumentationsumfang hängt von der Unter-nehmenskultur und dem Managementstil ab. Ziel dieser Aktivität ist eine Verbesserung der Klarheit der Richtlinien-prinzipien und die Unterstützung ihrer Implementierung.
  • Design – In dieser Phase finden zwei Aktivitäten statt:
    1. Festlegung von Prioritäten – Bestimmung konkreter Richtlinien unter Verwendung eines risikobasierten Ansatzes für Richtlinienprinzipien. Dabei werden Fristen und Prioritäten für die Prüfung und Erstellung festgelegt.
    2. Definition einer Richtlinienstruktur – Das Verfassen von Richtlinien ist nicht nur eine Schreibaktivität, eine angemessene Koordination ist ebenfalls notwendig. Dazu gehören folgende Aspekte:
      • Richtlinienentwurf – Festlegen der Personen, die für die Recherche und das Verfassen der Richtlinien ver-antwortlich sein sollen. Ein kritischer Erfolgsfaktor ist das Lösen möglicher Schwierigkeiten in Bezug auf die Realisierbarkeit der Implementierung der Richtlinien-prinzipien.
      • Überprüfung der Richtlinien – Festlegen der Personen, die für die Durchführung einer unabhängigen Prüfung verantwortlich sind. Ziel dieser Aktivität ist die Verbes-serung der Plausibilität und Qualität der Richtlinien.
      • Genehmigung, Kommunikation und Verteilung – Ein-führung eines Verfahrens zur finalen Richtliniengeneh-migung durch die autorisierten Personen, die zuvor in der Dimension der Anspruchsgruppen definiert wurden, und Festlegung der Strategie für die Richtlini-enkommunikation und Schulung.
      • Stil – Definition der Qualitätsstandards für die Texte, einschließlich Dokumentformat, Schriftart, Sprachstil, Glossar für Fachbegriffe und Dokumentstruktur. Ziel dieser Aktivität ist die Gewährleistung, dass die Richt-linien in klarer, konkreter, umfassender, konsistenter und leicht verständlicher Weise verfasst, dargestellt und strukturiert werden.
  • Implementierung – Diese Aktivität korrespondiert mit der Implementierung und Durchsetzung von Richtlinien. Dabei werden Aktivitäten definiert, die dem Unternehmen helfen, einen transparenten Übergang von einem nicht konformen zu einem konformen Status zu schaffen.
  • Betrieb – Eine effektive Richtlinie sollte Teil der DNA des Unternehmens werden. Durch den Aufbau einer verantwor-tungsbewussten Kultur und die Verwendung der Richtlinien bei täglichen Abläufen wird gewährleistet, dass die Ziele des Unternehmens umgesetzt werden. In dieser Phase sollten Unternehmen auf Worte Taten folgen lassen.
  • Evaluation/Überwachung– Ziel dieser Phase ist die Bestätigung, dass die Richt-linienanforderungen korrekt implementiert wurden und das Unternehmen effektive Betriebsabläufe hat. Es wird bewertet, ob die Richtlini-enprinzipien die Geschäftsziele erfolgreich unterstützen, und die relevanten Anspruchsgruppen werden über die Gesamteffizienz des Richtlinien-Rahmenwerks informiert.
  • Aktualisierung/Abschaffung – Damit die Richtlinien lang-fristig der Ausrichtung der Geschäftstätigkeit entsprechen, werden die Richtlinien überprüft und gegebenenfalls aktua-lisiert oder abgeschafft. Diese Aktivität hat zwei Ziele: zu gewährleisten, dass Unternehmen über effektive Richtlinien verfügen, und die zuvor definierten Phasen anzupassen, um den Reifegrad des Richtlinien-Rahmenwerks zu erhalten oder zu verbessern. Die bewährte Praxis sieht vor, dass Richtlinien regelmäßig überprüft werden, üblicherweise alle 12 Monate.

Dimension der bewährten Praxis
Die Trennung von Governance- und Management-Aktivitäten betont die Notwendigkeit einer spezifischeren Anleitung zur Implementierung und Verwaltung von Richtlinienprinzipien. Eine bewährte Methode ist das Verfassen von zusätzlicher Dokumentation, um die Richtlinieneffektivität und -effizienz zu unterstützen, z. B.6, 7, 8:

  • Standards – Eine verpflichtende Aktion, explizite Regeln, Steuerungen oder Konfigurationseinstellungen, die zur Unterstützung einer Richtlinie eingesetzt werden. Ein Standard sollte eine Richtlinie aussagekräftiger und effek-tiver machen. Dabei werden akzeptierte Spezifikationen für Hardware, Software oder Verhaltensweisen erfasst. Standards sollten immer auf die Richtlinie verweisen, zu der sie gehören.
  • Verfahren – Eine schriftlich festgehaltene Abfolge von Schritten zur Ausführung von Richtlinien durch spezifische, vorgeschriebene Aktionen. Dies ist das Wie in Bezug auf eine Richtlinie. Verfahren sind in der Regel detaillierter als Richtlinien. Sie bestimmen die Methode und geben in einer detaillierten Schrittabfolge an, wie ein angestrebtes Ziel, ein gewünschtes Geschäfts- oder ein Funktionsergebnis erreicht und wie die Richtlinie ausgeführt werden soll.
  • Leitlinie – Ein Leitfaden für einen Verhaltenskodex. Dabei handelt es sich um ein zusätzliches (optionales) Dokument zur Unterstützung der Richtlinien, Standards und Verfahren – eine allgemeine Anleitung zu Fragen wie „Was soll unter bestimmten Umständen getan werden?“. Dabei handelt es sich nicht um Anforderungen, die erfüllt werden müssen, die jedoch unbedingt empfohlen werden.
  • Baseline – Eine plattformspezifische Regel, die in der gesamten Branche als effektivster Ansatz für eine bestimmte Implementierung akzeptiert ist.

Fazit

Alle Unternehmen haben Richtlinien, die festlegen, wie Entscheidungen getroffen werden und Geschäftsziele erreicht werden. Ein effektives Richtlinien-Rahmenwerk stärkt die Verantwortlichkeit und Transparenz des Unternehmens und ist eine fundamentale Voraussetzung, die das Unternehmen beim Erreichen seiner Ziele unterstützt.

Das Verfassen von Richtlinien ist mehr als das Nieder-schreiben von Wörtern. Erforderlich ist ein systematischer Ansatz zur angemessenen Artikulation der Governance- und Management-Prinzipien. Die Prinzipien von COBIT 5 unterstützen einen ganzheitlichen Ansatz, der alle Mindestan-forderungen an ein Richtlinien-Rahmenwerk umfasst. Dabei wird nicht versucht, das Rad neu zu erfinden, und es wird der gesamte Lebenszyklus einer Richtlinie berücksichtigt.

Fussnoten

1 Swanson, Marianne; Barbara Guttman; SP 800-14, Generally Accepted Principles and Practices for Securing Information Technology Systems, September 1996, http://csrc.nist.gov/publications/nistpubs/800-14/800-14.pdf
2 Bowen, Pauline; Jan Hash; SP 800-100, Information Security Handbook: A Guide for Managers, October 2006, http://csrc.nist.gov/publications/nistpubs/800-100/SP800-100-Mar07-2007.pdf
3 The Verizon PCI and RISK Intelligence Teams, Verizon 2011 Payment Card Industry Compliance Report, 2011, www.verizonbusiness.com/resources/reports/rp_2011-payment-card-industry-compliance-report_en_xg.pdf
4 Tipton, Harold F.; Micki Krause: Information Security Management Handbook, 6th Edition, 2007
5 ISACA, COBIT 5, USA, 2012, www.isaca.org/cobit5
6 Bacik, Sandy: Building an Effective Information Security Policy Architecture, CRC Press, USA, 2008
7 Op. cit., Tipton
8 Writing, Stephen B.: Exceptional Policies and Procedures, Process Improvement Publishing, USA, 2009

Jorge Carrillo, Ph.D., CISA, CISM, CISSP, ist Experte für IT-Sicherheit und IT-Audit und verfügt über langjährige Erfahrung in der Entwicklung von IT-Richtlinien- und Risikomanagement-Prozes-sen. Carrillo ist Dozent am Prague College (Tschechische Republik).