COBIT 5 FOR INFORMATION SECURITY– EIN...
Transcript of COBIT 5 FOR INFORMATION SECURITY– EIN...
COBIT 5 FOR INFORMATION
SECURITY– EIN VERGLEICH Verfasser/in: Tobias Angehrn, Michael Schubiger, Pascal Eigenmann, Gabriela Caduff
Projektcoach: Christian Thiel
Wirtschaftsinformatik Seminar an der FHS St.Gallen,
Hochschule für Angewandte Wissenschaften
2012
FHS-Projektteam:
Tobias Angehrn Projektleiter Michael Schubiger
Pascal Eigenmann Gabriela Caduff
Projekt-Coach:
Dr. Christian Thiel
Eingereicht am:
04. Januar 2013
Inhaltsverzeichnis III
COBIT 5 FOR INFORMATION SECURITY– EIN VERGLEICH
Inhaltsverzeichnis
Inhaltsverzeichnis ............................................................................................................... III
Abbildungsverzeichnis ....................................................................................................... V
Tabellenverzeichnis ........................................................................................................... VI
Abkürzungsverzeichnis .................................................................................................... VII
1 COBIT 5 .......................................................................................................................... 1
1.1 Grundidee von COBIT 5 ......................................................................................... 1
1.1.1 Meeting Stakeholder needs – Bedürfnisse der Stakeholder treffen ............. 2
1.1.2 Covering the enterprise end to end – Abdecken der gesamten
Unternehmung........................................................................................................ 3
1.1.3 Applying in a single integrated Framework – Verwendung eines
Frameworks ........................................................................................................... 4
1.1.4 Enabling a holistic approach – Ganzheitlicher Ansatz ................................. 5
1.1.5 Separating governance from management – Von Management zu
Governance ............................................................................................................ 6
1.2 COBIT 5 for Information Security ............................................................................ 7
1.2.1 Prinzipien, Strategien und Frameworks ....................................................... 7
1.2.2 Prozesse ..................................................................................................... 8
1.2.3 Organisationsstruktur .................................................................................. 8
1.2.4 Kultur, Ethik und Verhalten ......................................................................... 8
1.2.5 Information .................................................................................................. 9
1.2.6 Services, Infrastruktur und Applikationen .................................................... 9
1.2.7 Personen, Fähigkeiten und Kompetenzen ................................................... 9
2 Weitere Standards ....................................................................................................... 10
2.1 ISO 27001 ............................................................................................................ 10
2.1.1 Einleitung .................................................................................................. 10
2.1.2 Anwendungsbereich ................................................................................. 10
2.2 BSI – Grundschutz Standards .............................................................................. 11
2.2.1 Einleitung .................................................................................................. 11
3 Vergleichskriterien ...................................................................................................... 12
3.1 Auswahl der Kriterien ........................................................................................... 12
3.2 Einteilung der Kriterien ......................................................................................... 12
Inhaltsverzeichnis IV
COBIT 5 FOR INFORMATION SECURITY– EIN VERGLEICH
4 Vergleich ...................................................................................................................... 13
4.1 Vergleich basierend auf COBIT 5 ......................................................................... 13
4.2 Vergleich basierend auf ISO 27001 ...................................................................... 16
4.3 Zertifizierung ........................................................................................................ 17
5 Empfehlungen ............................................................................................................. 18
5.1 Szenario A ............................................................................................................ 18
5.2 Szenario B ............................................................................................................ 18
5.3 Szenario C ........................................................................................................... 18
5.4 Empfehlung an ISACA .......................................................................................... 18
Quellenverzeichnis ............................................................................................................. 19
Anhänge ................................................................................................................................ 1
Anhang A ........................................................................................................................ 1
Vertraulichkeitserklärung .................................................................................................... 3
Abbildungsverzeichnis V
COBIT 5 FOR INFORMATION SECURITY– EIN VERGLEICH
Abbildungsverzeichnis
Abb. 1: Grundprinzipien von COBIT 5 .................................................................................... 1
Abb. 2: Zielpyramide von COBIT 5 ......................................................................................... 2
Abb. 3: Umfang von COBIT 5 in einer Unternehmung ............................................................ 3
Abb. 4: Integration von anderen Standarts in COBIT 5 ........................................................... 4
Abb. 5 Ganzheitlicher Ansatz von COBIT 5, die sieben Enablers ........................................... 5
Abb. 6 Dimension der Enabler in COBIT 5 ............................................................................. 5
Abb. 7 Bereiche von COBIT 5 ................................................................................................ 6
Abb. 8 Gesamtpalette von COBIT 5 ....................................................................................... 7
Abb. 9 Prinzipien, Strategien und Frameworks für Information Security ................................. 7
Abb. 10: Gesamtübersicht Prozesse der verschiedenen Standards ..................................... 13
Abb. 11: Prozessanzahl Evaluate, Direct and Monitor .......................................................... 14
Abb. 12: Prozessanzahl Align, Plan and Organise ............................................................... 14
Abb. 13: Prozessanzahl Build, Aquire and Implement .......................................................... 15
Abb. 14: Prozessanzahl Deliver, Service and Support .......................................................... 15
Abb. 15: Prozessanzahl Monitor, Evaluate and Assess ........................................................ 16
Abb. 16 Prozessanzahl basierend auf ISO 27001 ................................................................ 16
Tabellenverzeichnis VI
COBIT 5 FOR INFORMATION SECURITY– EIN VERGLEICH
Tabellenverzeichnis
Tab. 1: Rollen in COBIT 5 for Information Security ................................................................. 8
Tab. 2: Arten der Information .................................................................................................. 9
Abkürzungsverzeichnis VII
COBIT 5 FOR INFORMATION SECURITY– EIN VERGLEICH
Abkürzungsverzeichnis
ISACA Information System Audit and Control Association
ISO Internationale Organisation für Standardisierung
IEC Internationales elektronisches Komitee
ISMS Informationssicherheits-Managementsystems
BSI Bundesamts für Sicherheit in der Informationstechnik
Kapitel 1: COBIT 5 1
COBIT 5 FOR INFORMATION SECURITY– EIN VERGLEICH
1 COBIT 5
Ursprünglich ist COBIT für den Bereich des Audits 1996 von der Information System Audit
and Control Association (ISACA) auf den Markt gekommen. Im Laufe der Jahre hat ISACA
das Framework stets ausgebaut. 1998 wurde es um das Controlling erweitert. 2000 sollte es
das Management unterstützen. Seit 2005 beschäftigt sich COBIT in der Version 4.0 mit IT
Governance. Diese Arbeit beschäftigt sich mit COBIT 5, dass 2012 auf den Markt kam. Das
Update erweitert COBIT auf das Level der Governance of Enterprise IT. (Information System
Audit and Control Association [ISACA], 2012a)
In diesem Kapitel wird auf die Grundidee von COBIT 5 und COBIT 5 for IT Security
eingegangen.
1.1 Grundidee von COBIT 5
Abb. 1: Grundprinzipien von COBIT 5 Eigene Darstellung basierend auf ISACA, 2012b
COBIT 5 besteht aus fünf Prinzipien. Diese sollen gewährleisten, dass das Unternehmen
einen Vorteil aus der IT ziehen kann. Diese Grundprinzipien helfen dem Unternehmen die
Unternehmensziele zu erreichen. Das Framework zeigt den Firmen auf, was gemacht
werden muss um erfolgreich zu sein. Es liefert dabei jedoch keine explizierten Methoden um
dies zu bewerkstelligen.
fünf Prinzipien
von COBIT 5
fünf Prinzipien
von COBIT 5
Bedürfnisse von Stakeholder
treffen
Bedürfnisse von Stakeholder
treffen
Abdecken der gesamten
Unternehmung
Abdecken der gesamten
Unternehmung
Verwendung eines
Frameworks
Verwendung eines
Frameworks
Ganzheitlicher Ansatz
Ganzheitlicher Ansatz
Abgrenzung von Management
und Governance
Abgrenzung von Management
und Governance
Kapitel 1: COBIT 5 2
COBIT 5 FOR INFORMATION SECURITY– EIN VERGLEICH
1.1.1 Meeting Stakeholder needs – Bedürfnisse der Stakeholder treffen
Abb. 2: Zielpyramide von COBIT 5 Eigene Darstellung basierend auf ISACA 2012b S. 18
Das erste Prinzip von COBIT 5 beschäftigt sich mit den Bedürfnissen der Stakeholder. Eine
Unternehmung hat verschiedene Stakeholder, die auch gegenseitig in Konflikt stehen.
Dadurch werden die Risiken aufgezeigt, die auch optimiert werden können. Wenn die
Bedürfnisse der Stakeholder bekannt sind, kann man die Ressourcen auf diese anpassen
was dem Unternehmen nützt. Es führt soweit, dass die Unternehmensziele davon abgeleitet
werden können. Diese definieren wiederum die Informatikziele, die wiederum Ziele für die
einzelnen Prozesse, Einheiten oder Organisationen vorgeben. COBIT 5 geht daher davon
aus, dass die Bedürfnisse der Stakeholder eine wichtige Rolle im IT-Governance haben.
ISACA hat eine Zielpyramide definiert, die in Abb. 2 ersichtlich ist. (ISACA, 2012b, S. 16-18)
Prozess-, Einheits- oder OrganisationszieleProzess-, Einheits- oder Organisationsziele
InformatikzieleInformatikziele
UnternehmenszieleUnternehmensziele
Bedürfnisse von StakeholdernBedürfnisse von Stakeholdern
Risikooptimierung Ressourcenoptimierung Mehrwertgenerierung
UmweltfaktorenUmweltfaktoren
technologische ökologische rechtliche ökonomische
Kapitel 1: COBIT 5 3
COBIT 5 FOR INFORMATION SECURITY– EIN VERGLEICH
1.1.2 Covering the enterprise end to end – Abdecken der gesamten Unternehmung
Abb. 3: Umfang von COBIT 5 in einer Unternehmung Eigene Darstellung basierend auf ISACA 2012b S. 23 - 24
ISACA schreibt im Framework, dass in COBIT 5 alle relevanten Funktionen und Prozesse zu
Informationen und Technologien für die Führung einer Unternehmung abgedeckt werden. Es
greift dabei auf das Prinzipal 1 den Bedürfnissen der Stakeholder zurück.
Kapitel 1: COBIT 5 4
COBIT 5 FOR INFORMATION SECURITY– EIN VERGLEICH
1.1.3 Applying in a single integrated Framework – Verwendung eines Frameworks
Abb. 4: Integration von anderen Standarts in COBIT 5 Quelle: ISACA 2012b S. 61
In Abb. 4 ist ersichtlich, dass die ISACA versucht hat, andere gängige Frameworks
abzudecken. Es ist aber nicht so, dass COBIT 5 keine Ergänzungen durch andere
Frameworks zulässt. Weiter wurde in der Version 5 Val IT und Risk IT integriert, wodurch es
für Unternehmen einfacher wird, diese umzusetzen. (ISACA, 2012b S. 25)
Kapitel 1: COBIT 5 5
COBIT 5 FOR INFORMATION SECURITY– EIN VERGLEICH
1.1.4 Enabling a holistic approach – Ganzheitlicher Ansatz
Abb. 5 Ganzheitlicher Ansatz von COBIT 5, die sieben Enablers Eigene Darstellung basierend auf ISACA, 2012b S. 27
In Abb. 5 sind sieben Enablers, die das Unternehmen beeinflussen, aufgezeigt. COBIT 5
basiert auf diesen sieben Enablers und sagt zu jedem etwas. Die Punkte eins bis vier
beschäftigen sich mit Elementen die sich managen lassen. Die restlichen drei Punkte
beinhalten sowohl „Management“ als auch „Government“. (ISACA, 2012b, S. 27)
Abb. 6 Dimension der Enabler in COBIT 5 Quelle: ISACA 2012b S. 25
Kapitel 1: COBIT 5 6
COBIT 5 FOR INFORMATION SECURITY– EIN VERGLEICH
Alle sieben Enabler werden in COBIT 5 nach dem gleichen Schema beschrieben. Dieses ist
in Abb. 6 ersichtlich. Jeder Faktor hat einen oder mehrere Stakeholder. Es soll für jeden
Enabler ein Ziel erreicht werden. Jeder Enabler besitzt einen eigenen Lebenszyklus. Es wird
weiter beschrieben, wie mit den jeweiligen Enabler umgegangen wird. (ISACA 2012b, S. 28)
1.1.5 Separating governance from management – Von Management zu Governance
Um eine Abgrenzung von Management und Governance zu erhalten, muss zuerst klar sein,
was der Unterschied ist. ISACA definiert Governance und Management folgendermassen:
Governance stellt die Bedürfnisse der Stakeholder sicher und evaluiert diese. Es setzt somit
die Richtung für das Management fest. Weiter entscheidet Governance, was wichtig ist und
überwacht dessen Umsetzung. (ISACA, 2012b, S. 31)
Das Management plant die Handlungen zur Zielerreichung, setzt diese um und ist für den
erfolgreichen Betrieb verantwortlich. Um dies zu gewährleisten, muss auch eine Überprüfung
stattfinden. (ISACA, 2012b, S. 31)
Abb. 7 Bereiche von COBIT 5 Quelle: eigene Darstellung basierend auf ISACA 2012b S. 33
Dies ist also ein Prozess, der den Wertgewinn ermöglichen soll. COBIT 5 gliedert dies in fünf
Bereiche die in Abb. 7 ersichtlich sind. Es ist darauf zu achten, dass die
Managementprozesse ein Teil der Governanceprozesse sind.
Kapitel 1: COBIT 5 7
COBIT 5 FOR INFORMATION SECURITY– EIN VERGLEICH
1.2 COBIT 5 for Information Security
Abb. 8 Gesamtpalette von COBIT 5 Quelle: ISACA 2012c S. 13
In Kapitel 1 wurde die Idee hinter COBIT 5 kurz vorgestellt. Über COBIT 5 gibt es mehrere
Anwendungsgebiete. Der Guide über Information Security nimmt die sieben Enabler von
COBIT 5 und wendet diese auf den Bereich der Sicherheit an. (ISACA, 2012c, S. 13)
1.2.1 Prinzipien, Strategien und Frameworks
Abb. 9 Prinzipien, Strategien und Frameworks für Information Security Quelle: ISACA 2012c
COBIT 5 schlägt vor, dass die Elemente, die in Abb. 9 ersichtlich sind, in einem Framework
vorhanden sein müssen. Ein Framework stellt sich also aus fünf grundlegenden Teilen
zusammen.
Kapitel 1: COBIT 5 8
COBIT 5 FOR INFORMATION SECURITY– EIN VERGLEICH
Die Information Security Principles sind limitiert und sollen das Unternehmen verteidigen und
unterstützen sowie ein entsprechendes Verhalten in Bezug auf die Sicherheit gewährleisten.
Die Information Security Policy soll helfen die Information Security Principles umzusetzen.
1.2.2 Prozesse
Auf der Prozessebene werden in COBIT 5 for Information Security die Prozesse von COBIT
5 aus der Sicherheitssicht angeschaut.
Dies bedeutet, dass der Prozess nicht allgemein auf das Unternehmen angeschaut wird,
sondern nur unter dem Aspekt der Sicherheit. Als Beispiel kann man den Prozess APO12
nehmen. COBIT 5 beschäftigt sich mit Risiken die das Unternehmen haben kann, darunter
fallen verschiedene Arten von Risiken, wie zum Beispiel Brände oder Naturkatastrophen. In
COBIT 5 for Information Security ist der Prozess APO12 jedoch spezifisch auf Risiken im
Informatikbereich angewendet.
1.2.3 Organisationsstruktur
Rolle Aufgabe
Chief information security officer (CISO) Verantwortung für Informationssicherheit
über das gesamte Unternehmen.
Information security steering commitee
(ISSC)
Stellt die Überwachung und die Überprüfung
der COBIT Prozesse und Frameworks über
das Unternehmen sicher.
Tab. 1: Rollen in COBIT 5 for Information Security Quelle: Eigene Darstellung basierend auf ISACA 2012c
COBIT 5 for Information Security legt Vorschläge vor, die einem Unternehmen zeigen,
welche Positionen in einem Unternehmen für die Sicherheit bestehen müssen. Einige
Beispiele sind in Tab. 1 ersichtlich.
1.2.4 Kultur, Ethik und Verhalten
Im Rahmen der die Kultur, die Ethik und das Verhalten beschreibt, ist vor allem das
Verhalten der Stakeholder zu beachten. Es ist wichtig, dass man die Unternehmenskultur
kennt, um die Sicherheitsaspekte möglichst ohne deren Einschränkung einführen kann.
Da in der Unternehmenskultur Änderungen oft auf Wiederstand stossen, müssen diese von
den Verantwortlichen vorgelebt werden.
Kapitel 1: COBIT 5 9
COBIT 5 FOR INFORMATION SECURITY– EIN VERGLEICH
1.2.5 Information
Informationen sind in der heutigen Arbeitswelt all gegenwertig. Die Information ist somit ein
Key Enabler für die Information Security. Informationen können in folgende Typen gegliedert
werden.
Informationstypen
Information Security Strategy
Information Security Budget
Information Security Plan
Policies
Information Security Requirements
Awareness Material
Information Security Review Reports
Information Security Service Catalogue
Information Security Risk Profile
Information Security Dashboard
Tab. 2: Arten der Information Quelle: Eigene Darstellung basierend auf ISACA 2012c
Es gibt in COBIT 5 for Information Security zehn verschiedene Arten von Informationstypen.
Diese sind in Tab. 2 ersichtlich. Jeder dieser zehn Typen kann einem Stakeholder
zugeordnet werden.
1.2.6 Services, Infrastruktur und Applikationen
COBIT 5 for Information Security schlägt eine Reihe von Services vor, die von den
Prozessen vorausgesetzt werden.
1.2.7 Personen, Fähigkeiten und Kompetenzen
Dieser Bereich von COBIT 5 beschreibt die Fähigkeiten und Kompetenzen des
bestmöglichsten Fähigkeitslevels der Mitarbeiter eines Unternehmens. In Wirklichkeit ist
dieses jedoch oft schwer oder gar nicht zu erreichen.
Kapitel 2: Weitere Standards 10
COBIT 5 FOR INFORMATION SECURITY– EIN VERGLEICH
2 Weitere Standards
Neben COBIT 5 gibt es noch andere Standards über die Informationssicherheit, die
international anerkannt sind und eingesetzt werden. Hierzu gehören der ISO Standard, sowie
der BSI Grundschutz.
2.1 ISO 27001
Bei ISO 27001 handelt es sich um einen international anerkannten Standard, der von der
ISO (Internationale Organisation für Standardisierung) und dem IEC (Internationales
elektronisches Komitee) entwickelt, herausgegeben und gepflegt wird. Mit ISO 27001
können Organisationen aller Branchen ihre Prozesse und Massnahmen zur Gewährleistung
der Informationssicherheit zertifizieren lassen. (mitsm, ohne Datum)
2.1.1 Einleitung
ISO 27001 verwendet einen prozessorientierten Ansatz für die Einrichtung, Umsetzung,
Durchführung, Überwachung, Überprüfung, Instandhaltung und Verbesserung eines
organisationseigenen Informationssicherheits-Managementsystems (ISMS).
Folgende Punkte sind für die Anwendenden dieser Norm von besonderer Wichtigkeit:
1. Verständnis der Anforderungen der Organisation an Informationssicherheit, und die
Notwendigkeit, eine Leitlinie und Ziele für Informationssicherheit festzulegen;
2. Umsetzung und Betrieb von Maßnahmen, um die Informationssicherheitsrisiken einer
Organisation in Zusammenhang mit den allgemeinen Geschäftsrisiken der Organisation
zu verwalten;
3. Überwachung und Überprüfung der Leistung und Wirksamkeit des ISMS und
4. ständige Verbesserung auf der Basis von objektiven Messungen.
Um die Prozesse zu strukturieren wird das „Plan-Do-Check-Act“ Modell angewandt. (mitsm,
ohne Datum)
2.1.2 Anwendungsbereich
Die ISO/IEC 27001 kann in allen Arten von Organisationen eingesetzt werden und soll für
verschiedene Bereiche innerhalb der Organisation anwendbar sein. Insbesondere in
folgenden Punkten kann die Norm zugezogen werden:
Formulierung von Anforderungen und Zielsetzungen zur Informationssicherheit
Kosteneffizientes Management von Sicherheitsrisiken
Sicherstellung der Konformität mit Gesetzen und Regulatoren
Kapitel 2: Weitere Standards 11
COBIT 5 FOR INFORMATION SECURITY– EIN VERGLEICH
Prozessrahmen für die Implementierung und das Management von Maßnahmen zur
Sicherstellung von spezifischen Zielen zur Informationssicherheit
Definition von neuen Informationssicherheits-Managementprozessen
Identifikation und Definition von bestehenden Informationssicherheits-
Managementprozessen
Definition von Informationssicherheits-Managementtätigkeiten
Gebrauch durch interne und externe Auditoren zur Feststellung des Umsetzungsgrades
von Richtlinien und Standards (mitsm, ohne Datum)
2.2 BSI – Grundschutz Standards
Viele Arbeitsprozesse werden heutzutage elektronisch gesteuert und eine große Menge von
Informationen ist digital gespeichert, wird verarbeitet und in Netzen übermittelt. Damit sind
Organisationen und alle Anwender von dem einwandfreien Funktionieren der eingesetzten IT
abhängig.
Wachsende Gefährdungspotentiale und die steigende Abhängigkeit von der IT stellen die
Anwender vor neue Fragen, nämlich wie kann ich, wo mit welchen Mitteln mehr
Informationssicherheit erreichen. (BSI, ohne Datum)
2.2.1 Einleitung
Die IT-Grundschutzkataloge vom BSI (Bundesamts für Sicherheit in der Informationstechnik)
bilden eine Basis für die Informationssicherheit. So ist z.B. auch der ISO/ICE 27001 auf
diesen Grundsätzen aufgebaut. Die BSI-Standards enthalten Empfehlungen zu Prozessen,
Verfahren, Vorgehensweisen und Massnahmen in Bezug zur Informationssicherheit.
Der BSI-Standard setzt sich aus vier Katalogen zusammen. Dies sind:
BSI-Standard 100-1: Managementsysteme für Informationssicherheit (ISMS)
BSI-Standard 100-2: IT-Grundschutz-Vorgehensweise
BSI-Standard 100-3: Risikoanalyse auf der Basis von IT-Grundschutz
BSI-Standard 100-4: Notfallmanagement
Für die spätere Gegenüberstellung mit COBIT 5 und ISO/ICE 27001 werden die Kataloge
1-3 zur Hand genommen.
Kapitel 3: Vergleichskriterien 12
COBIT 5 FOR INFORMATION SECURITY– EIN VERGLEICH
3 Vergleichskriterien
In diesem Kapitel wird darauf eingegangen wie die Kriterien ausgewählt wurden.
3.1 Auswahl der Kriterien
Gemäss Aufgabenstellung hat sich die Projektgruppe gefragt, wie sich verschiedene
Sicherheitsframeworks am besten vergleichen lassen. Als erstes wurden die Kriterien
aufgebaut, diese wurden auf der Basis von COBIT 5, dem neusten unter den verglichenen
Sicherheitsframeworks, erstellt. Danach wurden die weiteren zu vergleichenden Standards
beigezogen und Kriterien ergänzt die in diesen Standards erwähnt wurden aber nicht in
COBIT 5 enthalten sind. Am Schluss wurden dann noch einige Punkte welche nicht direkt mit
den Standards zu tun haben als Kriterien hinzugefügt.
3.2 Einteilung der Kriterien
Da die verschiedenen Kriterien noch eher ungeordnet waren wurden diese in verschiedene
Übertitel eingeteilt. Diese lauten:
Evaluate, Direct and Monitor
Align, Plan and Organise
Build, Acquire and Implement
Deliver, Service and Support
Monitor, Evaluate and Assess
ISO 27001
Unabhängige Kriterien
Die gesamte detaillierte Auflistung der Kriterien sehen sie in Anhang A dieser Arbeit.
Kapitel 4: Vergleich 13
COBIT 5 FOR INFORMATION SECURITY– EIN VERGLEICH
4 Vergleich
Dieses Kapitel wird die verschiedenen Prozessbeschreibungen der verschiedenen
Standards einander gegenüberstellen.
4.1 Vergleich basierend auf COBIT 5
In den folgenden Darstellungen wird COBIT 5 immer die meisten Punkte erzielen, da die
Projektgruppe die Auswahlkriterien anhand des COBIT 5 Standards festgelegt hat.
Abb. 10: Gesamtübersicht Prozesse der verschiedenen Standards Quelle: eigene Darstellung
Die Abb. 10 zeigt zuerst einen Überblick über alle fünf Auswahlkriterien aus COBIT 5 und ein
Punkt basierend auf ISO 27001. Auf die einzelnen Punkte wird nachfolgend eingegangen.
0
2
4
6
8
10
12
14
Cobit 5
ISO 27001
Cobit 4.0
BSI
Kapitel 4: Vergleich 14
COBIT 5 FOR INFORMATION SECURITY– EIN VERGLEICH
Abb. 11: Prozessanzahl Evaluate, Direct and Monitor Quelle: eigene Darstellung
COBIT 5, sowie ISO 27001 zeigen fünf Prozesse im Evaluate, Direct and Monitor auf (vgl.
Abb. 11). In COBIT 4.0 wird dieser Bereich nicht abgedeckt. Der BSI Grundschutz stellt dazu
zwei Prozesse dar.
Abb. 12: Prozessanzahl Align, Plan and Organise Quelle: eigene Darstellung
Im Align, Plan and Organise beschreibt COBIT 5 13 Prozesse. In ISO 27001 werden acht
Prozesse aufgezeigt, in COBIT 4.0 neun Prozesse und in BSI sechs Prozesse, welche näher
auf das ausrichten, planen und organisieren eingehen. (vgl. Abb. 12)
0
1
2
3
4
5
6
Cobit 5 ISO 27001 Cobit 4.0 BSI
Evaluate, Direct and Monitor
0
2
4
6
8
10
12
14
Cobit 5 ISO 27001 Cobit 4.0 BSI
Align, Plan and Organise
Kapitel 4: Vergleich 15
COBIT 5 FOR INFORMATION SECURITY– EIN VERGLEICH
Abb. 13: Prozessanzahl Build, Aquire and Implement Quelle: eigene Darstellung
In Abb. 13 wird die Anzahl Prozesse im Bereich Build, Aquire and Implement dargestellt.
COBIT 5 zählt dazu zehn Prozesse, die anderen Standards haben hier weit weniger
Prozesse. In ISO 27001 sind es drei Prozesse, in COBIT 4.0 auch drei Prozesse und in BSI
vier Prozesse.
Abb. 14: Prozessanzahl Deliver, Service and Support Quelle: eigene Darstellung
Im Punkt Deliver, Service and Support (vgl. Abb. 14) haben die drei Standards COBIT 5, ISO
27001 und COBIT 4.0 fast gleich viele Prozesse, nämlich fünf resp. sechs Punkte. Einzig BSI
hat zu diesem Punkt nur zwei Prozesse.
0
2
4
6
8
10
12
Cobit 5 ISO 27001 Cobit 4.0 BSI
Build, Aquire and Implement
0
1
2
3
4
5
6
7
Cobit 5 ISO 27001 Cobit 4.0 BSI
Deliver, Service and Support
Kapitel 4: Vergleich 16
COBIT 5 FOR INFORMATION SECURITY– EIN VERGLEICH
Abb. 15: Prozessanzahl Monitor, Evaluate and Assess Quelle: eigene Darstellung
Im Bereich von Monitor, Evaluate and Assess (Abb. 15) haben die Standards COBIT 5, ISO
27001 und COBIT 4.0 alle drei Prozesse, die diesen Punkt beschreiben. Der BSI
Grundschutz stellt keinen Prozess in diesem Bereich dar.
4.2 Vergleich basierend auf ISO 27001
Abb. 16 Prozessanzahl basierend auf ISO 27001 Quelle: eigene Darstellung
Zusätzlich neben der Ausganglage, die sich die Projektgruppe gestellt hat, hat die Gruppe im
ISO 27001 und im BSI noch je neun weitere Prozesse gefunden, welche in COBIT 5 und in
COBIT 4.0 nicht aufgezeigt sind (Abb. 16). Diese bestehen aus der physischen und
umgebungsbezogenen Sicherheit (2 Prozesse) sowie der Zugangskontrolle (7 Prozesse).
0
0.5
1
1.5
2
2.5
3
3.5
Cobit 5 ISO 27001 Cobit 4.0 BSI
Monitor, Evaluate and Assess
0
1
2
3
4
5
6
7
8
9
10
Cobit 5 ISO 27001 Cobit 4.0 BSI
ISO 27001 basierende Merkmale
Kapitel 4: Vergleich 17
COBIT 5 FOR INFORMATION SECURITY– EIN VERGLEICH
4.3 Zertifizierung
Die Zertifizierung kann in allen Standards erreicht werden. Sowohl mit ISO als auch mit BSI
wird die Unternehmung zertifiziert, in Cobit hingegen können sich nur einzelne Personen auf
dem Standard zertifizieren lassen. Der Standard von ISO 27001 ist der bekannteste und
meist verbreitete, da es viele verschiedene ISO Standards gibt und diese für viele Bereiche
verwendet werden können. Da in Cobit nur Personen zertifiziert werden können, sagt die
Cobit Zertifizierung lediglich aus, dass diese Personen COBIT kennen und es
implementieren können, es fehlt jedoch eine Aussage über die Unternehmung.
Es fehlt somit eine Zertifizierung der Unternehmung nach dem COBIT-Standard.
Kapitel 5: Empfehlungen 18
COBIT 5 FOR INFORMATION SECURITY– EIN VERGLEICH
5 Empfehlungen
5.1 Szenario A
Wenn eine grössere Firma Applikationen selbst erstellt, verwaltet und implementiert, ist es
Sinnvoll mit COBIT 5 zu arbeiten. COBIT 5 hat in diesem Bereich zehn Standards, welche
Empfehlungen geben und Hilfestellung anbieten. Die drei anderen untersuchten Standards
haben jeweils nur drei bis vier Prozesse im Bereich Build, Aquire and Implement.
5.2 Szenario B
Wird in grösseren Unternehmen international gearbeitet und grossen Wert auf die
Zertifizierung gelegt, ist es sinnvoll diese nach ISO durchzuführen. BSI ist ein deutscher
Standard und COBIT 5 noch relativ neu, weshalb beide noch etwas weniger verbreitet sind
als ISO. Weiterhin gibt es verschiedene ISO Standards welche gut zusammen mit der ISO
27001 Zertifizierung verwendet werden können.
5.3 Szenario C
Für kleinere Firmen ist BSI Grundschutz ein guter Ansatz. Dieses ist für diese etwas weniger
strikt und umfangreich definiert und erlaubt eine einfachere Implementation von Security-
Standards. BSI kann ebenfalls zertifiziert werden und gibt der Firma noch etwas freiere
Hand, beispielsweise im Risikomanagement.
5.4 Empfehlung an ISACA
Für ISACA wäre es sinnvoll ein ‚Cobit light‘ für KMU’s zu entwickeln. Diese haben zurzeit mit
COBIT zu viel Aufwand und sind mit dem BSI Grundschutz besser bedient.
Quellenverzeichnis 19
COBIT 5 FOR INFORMATION SECURITY– EIN VERGLEICH
Quellenverzeichnis
Bundesamt für Sicherheit in der Informationstechnik. (ohne Datum). IT-Grundschutz.
Gefunden am 15.10.2012 unter
https://www.bsi.bund.de/DE/Themen/ITGrundschutz/itgrundschutz_node.html
Information System Audit an Control Association [ISACA]. (2012a). COBIT 5-Introduction.
Gefunden am 25.09.2012 unter http://www.isaca.org/COBIT/Documents/COBIT5-
Introduction.ppt
ISACA. (2012b). COBIT 5 Framework. Rolling Meadows: Autor.
ISACA. (2012c). COBIT 5 for Information Security. Rolling Meadows: Autor.
mITSM. (ohne Datum). Wissenswertes: Fragen und Antworten rund um ISO/IEC 27000.
Gefunden am 15.10.2012 unter http://www.mitsm.de/wissen/iso-27000-
knowledge/fragen-und-antworten-zum-iso-27000-standard
Anhänge 1
COBIT 5 FOR INFORMATION SECURITY– EIN VERGLEICH
Anhänge
Anhang A
Cobit 5 ISO 27001 Cobit 4.0 BSI
Evaluate, Direct and Monitor Cobit 5 ISO 27001 Cobit 4.0 BSI
Gibt es Regelungen bezüglich 1 1 0 1
Werden die erstellten Vorteile 1 1 0 1
Werden Risiken optimiert? 1 1 0 0
Gibt es eine 1 1 0 0
Werden Stakeholder mit 1 1 0 0
Align, Plan and Organise Cobit 5 ISO 27001 Cobit 4.0 BSI
Verwalten von IT Management 1 1 0 0
Verwalten von Strategien 1 1 1 0
Verwalten der 1 0 1 1
Verwalten von Innovation 1 0 0 0
Verwalten des Portfolios 1 0 0 0
Verwalten des Budget und der 1 0 1 0
Verwalten des Personals 1 1 1 1
Verwalten der Beziehungen 1 1 1 1
Verwalten von Service-Verträgen 1 0 1 0
Verwalten von Lieferanten 1 1 1 1
Verwalten der Qualität 1 1 1 0
Verwalten des Risikos 1 1 1 1
Verwalten der Sicherheit 1 1 0 1
Build, Aquire and Implement Cobit 5 ISO 27001 Cobit 4.0 BSI
Verwalten von Programmen und 1 0 1 1
Verwalten von 1 0 0 1
Verwalten von 1 1 1 0
Verwalten der Erreichbarkeit und 1 0 0 0
Verwalten von Organisatorischen 1 0 0 0
Verwalten von Change 1 0 1 1
Verwalten der Akzeptanz der
Veränderung und dem Übergang 1 0 0 0
Verwalten von Wissen 1 1 0 1
Verwalten von Anlagen 1 1 0 0
Verwalten der Konfiguration 1 0 0 0
Deliver, Service and Support Cobit 5 ISO 27001 Cobit 4.0 BSI
Verwalten des Betriebs 1 1 1 1
Verwalten von Servicerequests
und Ereignisse 1 1 1 0
Verwalten von Problemen 1 0 1 1
Verwalten der Kontinuität 1 1 1 0
Verwalten von
Sicherheitsservicen 1 1 1 0
Verwalten von Kontrollen der
Businessprozessen 1 1 1 0
Monitor, Evaluate and Assess Cobit 5 ISO 27001 Cobit 4.0 BSI
Überwachen, beurteilen und
bewerten der Leistung und
Übereinstimmung 1 1 1 0
Überwachen, beurteilen und
bewerten des Systems der
internen Kontrolle 1 1 1 0
Überwachen, beurteilen und
bewerten die Compliance mit
externen Anforderungen 1 1 1 0
ISO 27001 basierende
Merkmale Cobit 5 ISO 27001 Cobit 4.0 BSI
Physische und
umgebungsbezogene Sicherheit 0 1 0 1
0 1 0 1
Zugangskontrolle 0 1 0 1
0 1 0 1
0 1 0 1
0 1 0 1
0 1 0 1
0 1 0 1
0 1 0 1
Cobit 5 ISO 27001 Cobit 4.0 BSI
Evaluate, Direct and Monitor 5 5 0 2
Align, Plan and Organise 13 8 9 6
Build, Aquire and Implement 10 3 3 4
Deliver, Service and Support 6 5 6 2
Monitor, Evaluate and Assess 3 3 3 0
ISO 27001 basierende
Merkmale 0 9 0 9
Anhänge 2
COBIT 5 FOR INFORMATION SECURITY– EIN VERGLEICH
Cobit 5 ISO 27001 Cobit 4.0 BSI
Evaluate, Direct and Monitor Cobit 5 ISO 27001 Cobit 4.0 BSI
Gibt es Regelungen bezüglich 1 1 0 1
Werden die erstellten Vorteile 1 1 0 1
Werden Risiken optimiert? 1 1 0 0
Gibt es eine 1 1 0 0
Werden Stakeholder mit 1 1 0 0
Align, Plan and Organise Cobit 5 ISO 27001 Cobit 4.0 BSI
Verwalten von IT Management 1 1 0 0
Verwalten von Strategien 1 1 1 0
Verwalten der 1 0 1 1
Verwalten von Innovation 1 0 0 0
Verwalten des Portfolios 1 0 0 0
Verwalten des Budget und der 1 0 1 0
Verwalten des Personals 1 1 1 1
Verwalten der Beziehungen 1 1 1 1
Verwalten von Service-Verträgen 1 0 1 0
Verwalten von Lieferanten 1 1 1 1
Verwalten der Qualität 1 1 1 0
Verwalten des Risikos 1 1 1 1
Verwalten der Sicherheit 1 1 0 1
Build, Aquire and Implement Cobit 5 ISO 27001 Cobit 4.0 BSI
Verwalten von Programmen und 1 0 1 1
Verwalten von 1 0 0 1
Verwalten von 1 1 1 0
Verwalten der Erreichbarkeit und 1 0 0 0
Verwalten von Organisatorischen 1 0 0 0
Verwalten von Change 1 0 1 1
Verwalten der Akzeptanz der
Veränderung und dem Übergang 1 0 0 0
Verwalten von Wissen 1 1 0 1
Verwalten von Anlagen 1 1 0 0
Verwalten der Konfiguration 1 0 0 0
Deliver, Service and Support Cobit 5 ISO 27001 Cobit 4.0 BSI
Verwalten des Betriebs 1 1 1 1
Verwalten von Servicerequests
und Ereignisse 1 1 1 0
Verwalten von Problemen 1 0 1 1
Verwalten der Kontinuität 1 1 1 0
Verwalten von
Sicherheitsservicen 1 1 1 0
Verwalten von Kontrollen der
Businessprozessen 1 1 1 0
Monitor, Evaluate and Assess Cobit 5 ISO 27001 Cobit 4.0 BSI
Überwachen, beurteilen und
bewerten der Leistung und
Übereinstimmung 1 1 1 0
Überwachen, beurteilen und
bewerten des Systems der
internen Kontrolle 1 1 1 0
Überwachen, beurteilen und
bewerten die Compliance mit
externen Anforderungen 1 1 1 0
ISO 27001 basierende
Merkmale Cobit 5 ISO 27001 Cobit 4.0 BSI
Physische und
umgebungsbezogene Sicherheit 0 1 0 1
0 1 0 1
Zugangskontrolle 0 1 0 1
0 1 0 1
0 1 0 1
0 1 0 1
0 1 0 1
0 1 0 1
0 1 0 1
Cobit 5 ISO 27001 Cobit 4.0 BSI
Evaluate, Direct and Monitor 5 5 0 2
Align, Plan and Organise 13 8 9 6
Build, Aquire and Implement 10 3 3 4
Deliver, Service and Support 6 5 6 2
Monitor, Evaluate and Assess 3 3 3 0
ISO 27001 basierende
Merkmale 0 9 0 9
Vertraulichkeitserklärung
Wir erklären hiermit, dass wir:
- den Inhalt dieser Arbeit unter Angabe aller relevanten Quellen selbständig verfasst
haben.
- die uns anvertrauten Informationen von Seiten der Kundschaft auch nach Abgabe der
Arbeit vertraulich behandeln werden.
- ohne Zustimmung der Wissenstransferstelle WTT-FHS und der Kundschaft keine Kopien
dieser Arbeit an Dritte aushändigen werden.
Ort/Datum: Namen:
St. Gallen, 04.01.2013 Tobias Angehrn
Michael Schubiger
Pascal Eigenmann
Gabriela Caduff