COBIT 5 FOR INFORMATION SECURITY– EIN...

COBIT 5 FOR INFORMATION

SECURITY– EIN VERGLEICH Verfasser/in: Tobias Angehrn, Michael Schubiger, Pascal Eigenmann, Gabriela Caduff

Projektcoach: Christian Thiel

Wirtschaftsinformatik Seminar an der FHS St.Gallen,

Hochschule für Angewandte Wissenschaften

2012

FHS-Projektteam:

Tobias Angehrn Projektleiter Michael Schubiger

Pascal Eigenmann Gabriela Caduff

Projekt-Coach:

Dr. Christian Thiel

Eingereicht am:

04. Januar 2013

Inhaltsverzeichnis III

COBIT 5 FOR INFORMATION SECURITY– EIN VERGLEICH

Inhaltsverzeichnis

Inhaltsverzeichnis ............................................................................................................... III

Abbildungsverzeichnis ....................................................................................................... V

Tabellenverzeichnis ........................................................................................................... VI

Abkürzungsverzeichnis .................................................................................................... VII

1 COBIT 5 .......................................................................................................................... 1

1.1 Grundidee von COBIT 5 ......................................................................................... 1

1.1.1 Meeting Stakeholder needs – Bedürfnisse der Stakeholder treffen ............. 2

1.1.2 Covering the enterprise end to end – Abdecken der gesamten

Unternehmung........................................................................................................ 3

1.1.3 Applying in a single integrated Framework – Verwendung eines

Frameworks ........................................................................................................... 4

1.1.4 Enabling a holistic approach – Ganzheitlicher Ansatz ................................. 5

1.1.5 Separating governance from management – Von Management zu

Governance ............................................................................................................ 6

1.2 COBIT 5 for Information Security ............................................................................ 7

1.2.1 Prinzipien, Strategien und Frameworks ....................................................... 7

1.2.2 Prozesse ..................................................................................................... 8

1.2.3 Organisationsstruktur .................................................................................. 8

1.2.4 Kultur, Ethik und Verhalten ......................................................................... 8

1.2.5 Information .................................................................................................. 9

1.2.6 Services, Infrastruktur und Applikationen .................................................... 9

1.2.7 Personen, Fähigkeiten und Kompetenzen ................................................... 9

2 Weitere Standards ....................................................................................................... 10

2.1 ISO 27001 ............................................................................................................ 10

2.1.1 Einleitung .................................................................................................. 10

2.1.2 Anwendungsbereich ................................................................................. 10

2.2 BSI – Grundschutz Standards .............................................................................. 11

2.2.1 Einleitung .................................................................................................. 11

3 Vergleichskriterien ...................................................................................................... 12

3.1 Auswahl der Kriterien ........................................................................................... 12

3.2 Einteilung der Kriterien ......................................................................................... 12

Inhaltsverzeichnis IV


4 Vergleich ...................................................................................................................... 13

4.1 Vergleich basierend auf COBIT 5 ......................................................................... 13

4.2 Vergleich basierend auf ISO 27001 ...................................................................... 16

4.3 Zertifizierung ........................................................................................................ 17

5 Empfehlungen ............................................................................................................. 18

5.1 Szenario A ............................................................................................................ 18

5.2 Szenario B ............................................................................................................ 18

5.3 Szenario C ........................................................................................................... 18

5.4 Empfehlung an ISACA .......................................................................................... 18

Quellenverzeichnis ............................................................................................................. 19

Anhänge ................................................................................................................................ 1

Anhang A ........................................................................................................................ 1

Vertraulichkeitserklärung .................................................................................................... 3

Abbildungsverzeichnis V


Abbildungsverzeichnis

Abb. 1: Grundprinzipien von COBIT 5 .................................................................................... 1

Abb. 2: Zielpyramide von COBIT 5 ......................................................................................... 2

Abb. 3: Umfang von COBIT 5 in einer Unternehmung ............................................................ 3

Abb. 4: Integration von anderen Standarts in COBIT 5 ........................................................... 4

Abb. 5 Ganzheitlicher Ansatz von COBIT 5, die sieben Enablers ........................................... 5

Abb. 6 Dimension der Enabler in COBIT 5 ............................................................................. 5

Abb. 7 Bereiche von COBIT 5 ................................................................................................ 6

Abb. 8 Gesamtpalette von COBIT 5 ....................................................................................... 7

Abb. 9 Prinzipien, Strategien und Frameworks für Information Security ................................. 7

Abb. 10: Gesamtübersicht Prozesse der verschiedenen Standards ..................................... 13

Abb. 11: Prozessanzahl Evaluate, Direct and Monitor .......................................................... 14

Abb. 12: Prozessanzahl Align, Plan and Organise ............................................................... 14

Abb. 13: Prozessanzahl Build, Aquire and Implement .......................................................... 15

Abb. 14: Prozessanzahl Deliver, Service and Support .......................................................... 15

Abb. 15: Prozessanzahl Monitor, Evaluate and Assess ........................................................ 16

Abb. 16 Prozessanzahl basierend auf ISO 27001 ................................................................ 16

Tabellenverzeichnis VI


Tabellenverzeichnis

Tab. 1: Rollen in COBIT 5 for Information Security ................................................................. 8

Tab. 2: Arten der Information .................................................................................................. 9

Abkürzungsverzeichnis VII


Abkürzungsverzeichnis

ISACA Information System Audit and Control Association

ISO Internationale Organisation für Standardisierung

IEC Internationales elektronisches Komitee

ISMS Informationssicherheits-Managementsystems

BSI Bundesamts für Sicherheit in der Informationstechnik

Kapitel 1: COBIT 5 1


1 COBIT 5

Ursprünglich ist COBIT für den Bereich des Audits 1996 von der Information System Audit

and Control Association (ISACA) auf den Markt gekommen. Im Laufe der Jahre hat ISACA

das Framework stets ausgebaut. 1998 wurde es um das Controlling erweitert. 2000 sollte es

das Management unterstützen. Seit 2005 beschäftigt sich COBIT in der Version 4.0 mit IT

Governance. Diese Arbeit beschäftigt sich mit COBIT 5, dass 2012 auf den Markt kam. Das

Update erweitert COBIT auf das Level der Governance of Enterprise IT. (Information System

Audit and Control Association [ISACA], 2012a)

In diesem Kapitel wird auf die Grundidee von COBIT 5 und COBIT 5 for IT Security

eingegangen.

1.1 Grundidee von COBIT 5

Abb. 1: Grundprinzipien von COBIT 5 Eigene Darstellung basierend auf ISACA, 2012b

COBIT 5 besteht aus fünf Prinzipien. Diese sollen gewährleisten, dass das Unternehmen

einen Vorteil aus der IT ziehen kann. Diese Grundprinzipien helfen dem Unternehmen die

Unternehmensziele zu erreichen. Das Framework zeigt den Firmen auf, was gemacht

werden muss um erfolgreich zu sein. Es liefert dabei jedoch keine explizierten Methoden um

dies zu bewerkstelligen.

fünf Prinzipien

von COBIT 5

fünf Prinzipien

von COBIT 5

Bedürfnisse von Stakeholder

treffen

Bedürfnisse von Stakeholder

treffen

Abdecken der gesamten

Unternehmung

Abdecken der gesamten

Unternehmung

Verwendung eines

Frameworks

Verwendung eines

Frameworks

Ganzheitlicher Ansatz

Ganzheitlicher Ansatz

Abgrenzung von Management

und Governance

Abgrenzung von Management

und Governance



1.1.1 Meeting Stakeholder needs – Bedürfnisse der Stakeholder treffen

Abb. 2: Zielpyramide von COBIT 5 Eigene Darstellung basierend auf ISACA 2012b S. 18

Das erste Prinzip von COBIT 5 beschäftigt sich mit den Bedürfnissen der Stakeholder. Eine

Unternehmung hat verschiedene Stakeholder, die auch gegenseitig in Konflikt stehen.

Dadurch werden die Risiken aufgezeigt, die auch optimiert werden können. Wenn die

Bedürfnisse der Stakeholder bekannt sind, kann man die Ressourcen auf diese anpassen

was dem Unternehmen nützt. Es führt soweit, dass die Unternehmensziele davon abgeleitet

werden können. Diese definieren wiederum die Informatikziele, die wiederum Ziele für die

einzelnen Prozesse, Einheiten oder Organisationen vorgeben. COBIT 5 geht daher davon

aus, dass die Bedürfnisse der Stakeholder eine wichtige Rolle im IT-Governance haben.

ISACA hat eine Zielpyramide definiert, die in Abb. 2 ersichtlich ist. (ISACA, 2012b, S. 16-18)

Prozess-, Einheits- oder OrganisationszieleProzess-, Einheits- oder Organisationsziele

InformatikzieleInformatikziele

UnternehmenszieleUnternehmensziele

Bedürfnisse von StakeholdernBedürfnisse von Stakeholdern

Risikooptimierung Ressourcenoptimierung Mehrwertgenerierung

UmweltfaktorenUmweltfaktoren

technologische ökologische rechtliche ökonomische



1.1.2 Covering the enterprise end to end – Abdecken der gesamten Unternehmung

Abb. 3: Umfang von COBIT 5 in einer Unternehmung Eigene Darstellung basierend auf ISACA 2012b S. 23 - 24

ISACA schreibt im Framework, dass in COBIT 5 alle relevanten Funktionen und Prozesse zu

Informationen und Technologien für die Führung einer Unternehmung abgedeckt werden. Es

greift dabei auf das Prinzipal 1 den Bedürfnissen der Stakeholder zurück.



1.1.3 Applying in a single integrated Framework – Verwendung eines Frameworks

Abb. 4: Integration von anderen Standarts in COBIT 5 Quelle: ISACA 2012b S. 61

In Abb. 4 ist ersichtlich, dass die ISACA versucht hat, andere gängige Frameworks

abzudecken. Es ist aber nicht so, dass COBIT 5 keine Ergänzungen durch andere

Frameworks zulässt. Weiter wurde in der Version 5 Val IT und Risk IT integriert, wodurch es

für Unternehmen einfacher wird, diese umzusetzen. (ISACA, 2012b S. 25)



1.1.4 Enabling a holistic approach – Ganzheitlicher Ansatz

Abb. 5 Ganzheitlicher Ansatz von COBIT 5, die sieben Enablers Eigene Darstellung basierend auf ISACA, 2012b S. 27

In Abb. 5 sind sieben Enablers, die das Unternehmen beeinflussen, aufgezeigt. COBIT 5

basiert auf diesen sieben Enablers und sagt zu jedem etwas. Die Punkte eins bis vier

beschäftigen sich mit Elementen die sich managen lassen. Die restlichen drei Punkte

beinhalten sowohl „Management“ als auch „Government“. (ISACA, 2012b, S. 27)

Abb. 6 Dimension der Enabler in COBIT 5 Quelle: ISACA 2012b S. 25



Alle sieben Enabler werden in COBIT 5 nach dem gleichen Schema beschrieben. Dieses ist

in Abb. 6 ersichtlich. Jeder Faktor hat einen oder mehrere Stakeholder. Es soll für jeden

Enabler ein Ziel erreicht werden. Jeder Enabler besitzt einen eigenen Lebenszyklus. Es wird

weiter beschrieben, wie mit den jeweiligen Enabler umgegangen wird. (ISACA 2012b, S. 28)

1.1.5 Separating governance from management – Von Management zu Governance

Um eine Abgrenzung von Management und Governance zu erhalten, muss zuerst klar sein,

was der Unterschied ist. ISACA definiert Governance und Management folgendermassen:

Governance stellt die Bedürfnisse der Stakeholder sicher und evaluiert diese. Es setzt somit

die Richtung für das Management fest. Weiter entscheidet Governance, was wichtig ist und

überwacht dessen Umsetzung. (ISACA, 2012b, S. 31)

Das Management plant die Handlungen zur Zielerreichung, setzt diese um und ist für den

erfolgreichen Betrieb verantwortlich. Um dies zu gewährleisten, muss auch eine Überprüfung

stattfinden. (ISACA, 2012b, S. 31)

Abb. 7 Bereiche von COBIT 5 Quelle: eigene Darstellung basierend auf ISACA 2012b S. 33

Dies ist also ein Prozess, der den Wertgewinn ermöglichen soll. COBIT 5 gliedert dies in fünf

Bereiche die in Abb. 7 ersichtlich sind. Es ist darauf zu achten, dass die

Managementprozesse ein Teil der Governanceprozesse sind.



1.2 COBIT 5 for Information Security

Abb. 8 Gesamtpalette von COBIT 5 Quelle: ISACA 2012c S. 13

In Kapitel 1 wurde die Idee hinter COBIT 5 kurz vorgestellt. Über COBIT 5 gibt es mehrere

Anwendungsgebiete. Der Guide über Information Security nimmt die sieben Enabler von

COBIT 5 und wendet diese auf den Bereich der Sicherheit an. (ISACA, 2012c, S. 13)

1.2.1 Prinzipien, Strategien und Frameworks

Abb. 9 Prinzipien, Strategien und Frameworks für Information Security Quelle: ISACA 2012c

COBIT 5 schlägt vor, dass die Elemente, die in Abb. 9 ersichtlich sind, in einem Framework

vorhanden sein müssen. Ein Framework stellt sich also aus fünf grundlegenden Teilen

zusammen.



Die Information Security Principles sind limitiert und sollen das Unternehmen verteidigen und

unterstützen sowie ein entsprechendes Verhalten in Bezug auf die Sicherheit gewährleisten.

Die Information Security Policy soll helfen die Information Security Principles umzusetzen.

1.2.2 Prozesse

Auf der Prozessebene werden in COBIT 5 for Information Security die Prozesse von COBIT

5 aus der Sicherheitssicht angeschaut.

Dies bedeutet, dass der Prozess nicht allgemein auf das Unternehmen angeschaut wird,

sondern nur unter dem Aspekt der Sicherheit. Als Beispiel kann man den Prozess APO12

nehmen. COBIT 5 beschäftigt sich mit Risiken die das Unternehmen haben kann, darunter

fallen verschiedene Arten von Risiken, wie zum Beispiel Brände oder Naturkatastrophen. In

COBIT 5 for Information Security ist der Prozess APO12 jedoch spezifisch auf Risiken im

Informatikbereich angewendet.

1.2.3 Organisationsstruktur

Rolle Aufgabe

Chief information security officer (CISO) Verantwortung für Informationssicherheit

über das gesamte Unternehmen.

Information security steering commitee

(ISSC)

Stellt die Überwachung und die Überprüfung

der COBIT Prozesse und Frameworks über

das Unternehmen sicher.

Tab. 1: Rollen in COBIT 5 for Information Security Quelle: Eigene Darstellung basierend auf ISACA 2012c

COBIT 5 for Information Security legt Vorschläge vor, die einem Unternehmen zeigen,

welche Positionen in einem Unternehmen für die Sicherheit bestehen müssen. Einige

Beispiele sind in Tab. 1 ersichtlich.

1.2.4 Kultur, Ethik und Verhalten

Im Rahmen der die Kultur, die Ethik und das Verhalten beschreibt, ist vor allem das

Verhalten der Stakeholder zu beachten. Es ist wichtig, dass man die Unternehmenskultur

kennt, um die Sicherheitsaspekte möglichst ohne deren Einschränkung einführen kann.

Da in der Unternehmenskultur Änderungen oft auf Wiederstand stossen, müssen diese von

den Verantwortlichen vorgelebt werden.



1.2.5 Information

Informationen sind in der heutigen Arbeitswelt all gegenwertig. Die Information ist somit ein

Key Enabler für die Information Security. Informationen können in folgende Typen gegliedert

werden.

Informationstypen

Information Security Strategy

Information Security Budget

Information Security Plan

Policies

Information Security Requirements

Awareness Material

Information Security Review Reports

Information Security Service Catalogue

Information Security Risk Profile

Information Security Dashboard

Tab. 2: Arten der Information Quelle: Eigene Darstellung basierend auf ISACA 2012c

Es gibt in COBIT 5 for Information Security zehn verschiedene Arten von Informationstypen.

Diese sind in Tab. 2 ersichtlich. Jeder dieser zehn Typen kann einem Stakeholder

zugeordnet werden.

1.2.6 Services, Infrastruktur und Applikationen

COBIT 5 for Information Security schlägt eine Reihe von Services vor, die von den

Prozessen vorausgesetzt werden.

1.2.7 Personen, Fähigkeiten und Kompetenzen

Dieser Bereich von COBIT 5 beschreibt die Fähigkeiten und Kompetenzen des

bestmöglichsten Fähigkeitslevels der Mitarbeiter eines Unternehmens. In Wirklichkeit ist

dieses jedoch oft schwer oder gar nicht zu erreichen.

Kapitel 2: Weitere Standards 10


2 Weitere Standards

Neben COBIT 5 gibt es noch andere Standards über die Informationssicherheit, die

international anerkannt sind und eingesetzt werden. Hierzu gehören der ISO Standard, sowie

der BSI Grundschutz.

2.1 ISO 27001

Bei ISO 27001 handelt es sich um einen international anerkannten Standard, der von der

ISO (Internationale Organisation für Standardisierung) und dem IEC (Internationales

elektronisches Komitee) entwickelt, herausgegeben und gepflegt wird. Mit ISO 27001

können Organisationen aller Branchen ihre Prozesse und Massnahmen zur Gewährleistung

der Informationssicherheit zertifizieren lassen. (mitsm, ohne Datum)

2.1.1 Einleitung

ISO 27001 verwendet einen prozessorientierten Ansatz für die Einrichtung, Umsetzung,

Durchführung, Überwachung, Überprüfung, Instandhaltung und Verbesserung eines

organisationseigenen Informationssicherheits-Managementsystems (ISMS).

Folgende Punkte sind für die Anwendenden dieser Norm von besonderer Wichtigkeit:

1. Verständnis der Anforderungen der Organisation an Informationssicherheit, und die

Notwendigkeit, eine Leitlinie und Ziele für Informationssicherheit festzulegen;

2. Umsetzung und Betrieb von Maßnahmen, um die Informationssicherheitsrisiken einer

Organisation in Zusammenhang mit den allgemeinen Geschäftsrisiken der Organisation

zu verwalten;

3. Überwachung und Überprüfung der Leistung und Wirksamkeit des ISMS und

4. ständige Verbesserung auf der Basis von objektiven Messungen.

Um die Prozesse zu strukturieren wird das „Plan-Do-Check-Act“ Modell angewandt. (mitsm,

ohne Datum)

2.1.2 Anwendungsbereich

Die ISO/IEC 27001 kann in allen Arten von Organisationen eingesetzt werden und soll für

verschiedene Bereiche innerhalb der Organisation anwendbar sein. Insbesondere in

folgenden Punkten kann die Norm zugezogen werden:

Formulierung von Anforderungen und Zielsetzungen zur Informationssicherheit

Kosteneffizientes Management von Sicherheitsrisiken

Sicherstellung der Konformität mit Gesetzen und Regulatoren

Kapitel 2: Weitere Standards 11


Prozessrahmen für die Implementierung und das Management von Maßnahmen zur

Sicherstellung von spezifischen Zielen zur Informationssicherheit

Definition von neuen Informationssicherheits-Managementprozessen

Identifikation und Definition von bestehenden Informationssicherheits-

Managementprozessen

Definition von Informationssicherheits-Managementtätigkeiten

Gebrauch durch interne und externe Auditoren zur Feststellung des Umsetzungsgrades

von Richtlinien und Standards (mitsm, ohne Datum)

2.2 BSI – Grundschutz Standards

Viele Arbeitsprozesse werden heutzutage elektronisch gesteuert und eine große Menge von

Informationen ist digital gespeichert, wird verarbeitet und in Netzen übermittelt. Damit sind

Organisationen und alle Anwender von dem einwandfreien Funktionieren der eingesetzten IT

abhängig.

Wachsende Gefährdungspotentiale und die steigende Abhängigkeit von der IT stellen die

Anwender vor neue Fragen, nämlich wie kann ich, wo mit welchen Mitteln mehr

Informationssicherheit erreichen. (BSI, ohne Datum)

2.2.1 Einleitung

Die IT-Grundschutzkataloge vom BSI (Bundesamts für Sicherheit in der Informationstechnik)

bilden eine Basis für die Informationssicherheit. So ist z.B. auch der ISO/ICE 27001 auf

diesen Grundsätzen aufgebaut. Die BSI-Standards enthalten Empfehlungen zu Prozessen,

Verfahren, Vorgehensweisen und Massnahmen in Bezug zur Informationssicherheit.

Der BSI-Standard setzt sich aus vier Katalogen zusammen. Dies sind:

BSI-Standard 100-1: Managementsysteme für Informationssicherheit (ISMS)

BSI-Standard 100-2: IT-Grundschutz-Vorgehensweise

BSI-Standard 100-3: Risikoanalyse auf der Basis von IT-Grundschutz

BSI-Standard 100-4: Notfallmanagement

Für die spätere Gegenüberstellung mit COBIT 5 und ISO/ICE 27001 werden die Kataloge

1-3 zur Hand genommen.

https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzStandards/ITGrundschutzStandards_node.html#doc471418bodyText1




Kapitel 3: Vergleichskriterien 12


3 Vergleichskriterien

In diesem Kapitel wird darauf eingegangen wie die Kriterien ausgewählt wurden.

3.1 Auswahl der Kriterien

Gemäss Aufgabenstellung hat sich die Projektgruppe gefragt, wie sich verschiedene

Sicherheitsframeworks am besten vergleichen lassen. Als erstes wurden die Kriterien

aufgebaut, diese wurden auf der Basis von COBIT 5, dem neusten unter den verglichenen

Sicherheitsframeworks, erstellt. Danach wurden die weiteren zu vergleichenden Standards

beigezogen und Kriterien ergänzt die in diesen Standards erwähnt wurden aber nicht in

COBIT 5 enthalten sind. Am Schluss wurden dann noch einige Punkte welche nicht direkt mit

den Standards zu tun haben als Kriterien hinzugefügt.

3.2 Einteilung der Kriterien

Da die verschiedenen Kriterien noch eher ungeordnet waren wurden diese in verschiedene

Übertitel eingeteilt. Diese lauten:

Evaluate, Direct and Monitor

Align, Plan and Organise

Build, Acquire and Implement

Deliver, Service and Support

Monitor, Evaluate and Assess

ISO 27001

Unabhängige Kriterien

Die gesamte detaillierte Auflistung der Kriterien sehen sie in Anhang A dieser Arbeit.

Kapitel 4: Vergleich 13


4 Vergleich

Dieses Kapitel wird die verschiedenen Prozessbeschreibungen der verschiedenen

Standards einander gegenüberstellen.

4.1 Vergleich basierend auf COBIT 5

In den folgenden Darstellungen wird COBIT 5 immer die meisten Punkte erzielen, da die

Projektgruppe die Auswahlkriterien anhand des COBIT 5 Standards festgelegt hat.

Abb. 10: Gesamtübersicht Prozesse der verschiedenen Standards Quelle: eigene Darstellung

Die Abb. 10 zeigt zuerst einen Überblick über alle fünf Auswahlkriterien aus COBIT 5 und ein

Punkt basierend auf ISO 27001. Auf die einzelnen Punkte wird nachfolgend eingegangen.

0

2

4

6

8

10

12

14

Cobit 5

ISO 27001

Cobit 4.0

BSI



Abb. 11: Prozessanzahl Evaluate, Direct and Monitor Quelle: eigene Darstellung

COBIT 5, sowie ISO 27001 zeigen fünf Prozesse im Evaluate, Direct and Monitor auf (vgl.

Abb. 11). In COBIT 4.0 wird dieser Bereich nicht abgedeckt. Der BSI Grundschutz stellt dazu

zwei Prozesse dar.

Abb. 12: Prozessanzahl Align, Plan and Organise Quelle: eigene Darstellung

Im Align, Plan and Organise beschreibt COBIT 5 13 Prozesse. In ISO 27001 werden acht

Prozesse aufgezeigt, in COBIT 4.0 neun Prozesse und in BSI sechs Prozesse, welche näher

auf das ausrichten, planen und organisieren eingehen. (vgl. Abb. 12)

0

1

2

3

4

5

6

Cobit 5 ISO 27001 Cobit 4.0 BSI

Evaluate, Direct and Monitor

0

2

4

6

8

10

12

14


Align, Plan and Organise



Abb. 13: Prozessanzahl Build, Aquire and Implement Quelle: eigene Darstellung

In Abb. 13 wird die Anzahl Prozesse im Bereich Build, Aquire and Implement dargestellt.

COBIT 5 zählt dazu zehn Prozesse, die anderen Standards haben hier weit weniger

Prozesse. In ISO 27001 sind es drei Prozesse, in COBIT 4.0 auch drei Prozesse und in BSI

vier Prozesse.

Abb. 14: Prozessanzahl Deliver, Service and Support Quelle: eigene Darstellung

Im Punkt Deliver, Service and Support (vgl. Abb. 14) haben die drei Standards COBIT 5, ISO

27001 und COBIT 4.0 fast gleich viele Prozesse, nämlich fünf resp. sechs Punkte. Einzig BSI

hat zu diesem Punkt nur zwei Prozesse.

0

2

4

6

8

10

12


Build, Aquire and Implement

0

1

2

3

4

5

6

7


Deliver, Service and Support



Abb. 15: Prozessanzahl Monitor, Evaluate and Assess Quelle: eigene Darstellung

Im Bereich von Monitor, Evaluate and Assess (Abb. 15) haben die Standards COBIT 5, ISO

27001 und COBIT 4.0 alle drei Prozesse, die diesen Punkt beschreiben. Der BSI

Grundschutz stellt keinen Prozess in diesem Bereich dar.

4.2 Vergleich basierend auf ISO 27001

Abb. 16 Prozessanzahl basierend auf ISO 27001 Quelle: eigene Darstellung

Zusätzlich neben der Ausganglage, die sich die Projektgruppe gestellt hat, hat die Gruppe im

ISO 27001 und im BSI noch je neun weitere Prozesse gefunden, welche in COBIT 5 und in

COBIT 4.0 nicht aufgezeigt sind (Abb. 16). Diese bestehen aus der physischen und

umgebungsbezogenen Sicherheit (2 Prozesse) sowie der Zugangskontrolle (7 Prozesse).

0

0.5

1

1.5

2

2.5

3

3.5


Monitor, Evaluate and Assess

0

1

2

3

4

5

6

7

8

9

10


ISO 27001 basierende Merkmale



4.3 Zertifizierung

Die Zertifizierung kann in allen Standards erreicht werden. Sowohl mit ISO als auch mit BSI

wird die Unternehmung zertifiziert, in Cobit hingegen können sich nur einzelne Personen auf

dem Standard zertifizieren lassen. Der Standard von ISO 27001 ist der bekannteste und

meist verbreitete, da es viele verschiedene ISO Standards gibt und diese für viele Bereiche

verwendet werden können. Da in Cobit nur Personen zertifiziert werden können, sagt die

Cobit Zertifizierung lediglich aus, dass diese Personen COBIT kennen und es

implementieren können, es fehlt jedoch eine Aussage über die Unternehmung.

Es fehlt somit eine Zertifizierung der Unternehmung nach dem COBIT-Standard.

Kapitel 5: Empfehlungen 18


5 Empfehlungen

5.1 Szenario A

Wenn eine grössere Firma Applikationen selbst erstellt, verwaltet und implementiert, ist es

Sinnvoll mit COBIT 5 zu arbeiten. COBIT 5 hat in diesem Bereich zehn Standards, welche

Empfehlungen geben und Hilfestellung anbieten. Die drei anderen untersuchten Standards

haben jeweils nur drei bis vier Prozesse im Bereich Build, Aquire and Implement.

5.2 Szenario B

Wird in grösseren Unternehmen international gearbeitet und grossen Wert auf die

Zertifizierung gelegt, ist es sinnvoll diese nach ISO durchzuführen. BSI ist ein deutscher

Standard und COBIT 5 noch relativ neu, weshalb beide noch etwas weniger verbreitet sind

als ISO. Weiterhin gibt es verschiedene ISO Standards welche gut zusammen mit der ISO

27001 Zertifizierung verwendet werden können.

5.3 Szenario C

Für kleinere Firmen ist BSI Grundschutz ein guter Ansatz. Dieses ist für diese etwas weniger

strikt und umfangreich definiert und erlaubt eine einfachere Implementation von Security-

Standards. BSI kann ebenfalls zertifiziert werden und gibt der Firma noch etwas freiere

Hand, beispielsweise im Risikomanagement.

5.4 Empfehlung an ISACA

Für ISACA wäre es sinnvoll ein ‚Cobit light‘ für KMU’s zu entwickeln. Diese haben zurzeit mit

COBIT zu viel Aufwand und sind mit dem BSI Grundschutz besser bedient.

Quellenverzeichnis 19


Quellenverzeichnis

Bundesamt für Sicherheit in der Informationstechnik. (ohne Datum). IT-Grundschutz.

Gefunden am 15.10.2012 unter

https://www.bsi.bund.de/DE/Themen/ITGrundschutz/itgrundschutz_node.html

Information System Audit an Control Association [ISACA]. (2012a). COBIT 5-Introduction.

Gefunden am 25.09.2012 unter http://www.isaca.org/COBIT/Documents/COBIT5-

Introduction.ppt

ISACA. (2012b). COBIT 5 Framework. Rolling Meadows: Autor.

ISACA. (2012c). COBIT 5 for Information Security. Rolling Meadows: Autor.

mITSM. (ohne Datum). Wissenswertes: Fragen und Antworten rund um ISO/IEC 27000.

Gefunden am 15.10.2012 unter http://www.mitsm.de/wissen/iso-27000-

knowledge/fragen-und-antworten-zum-iso-27000-standard

Anhänge 1


Anhänge

Anhang A


Evaluate, Direct and Monitor Cobit 5 ISO 27001 Cobit 4.0 BSI

Gibt es Regelungen bezüglich 1 1 0 1

Werden die erstellten Vorteile 1 1 0 1

Werden Risiken optimiert? 1 1 0 0

Gibt es eine 1 1 0 0

Werden Stakeholder mit 1 1 0 0

Align, Plan and Organise Cobit 5 ISO 27001 Cobit 4.0 BSI

Verwalten von IT Management 1 1 0 0

Verwalten von Strategien 1 1 1 0

Verwalten der 1 0 1 1

Verwalten von Innovation 1 0 0 0

Verwalten des Portfolios 1 0 0 0

Verwalten des Budget und der 1 0 1 0

Verwalten des Personals 1 1 1 1

Verwalten der Beziehungen 1 1 1 1

Verwalten von Service-Verträgen 1 0 1 0

Verwalten von Lieferanten 1 1 1 1

Verwalten der Qualität 1 1 1 0

Verwalten des Risikos 1 1 1 1

Verwalten der Sicherheit 1 1 0 1

Build, Aquire and Implement Cobit 5 ISO 27001 Cobit 4.0 BSI

Verwalten von Programmen und 1 0 1 1

Verwalten von 1 0 0 1


Verwalten der Erreichbarkeit und 1 0 0 0

Verwalten von Organisatorischen 1 0 0 0

Verwalten von Change 1 0 1 1

Verwalten der Akzeptanz der

Veränderung und dem Übergang 1 0 0 0

Verwalten von Wissen 1 1 0 1

Verwalten von Anlagen 1 1 0 0

Verwalten der Konfiguration 1 0 0 0

Deliver, Service and Support Cobit 5 ISO 27001 Cobit 4.0 BSI

Verwalten des Betriebs 1 1 1 1

Verwalten von Servicerequests

und Ereignisse 1 1 1 0

Verwalten von Problemen 1 0 1 1

Verwalten der Kontinuität 1 1 1 0

Verwalten von

Sicherheitsservicen 1 1 1 0

Verwalten von Kontrollen der

Businessprozessen 1 1 1 0

Monitor, Evaluate and Assess Cobit 5 ISO 27001 Cobit 4.0 BSI

Überwachen, beurteilen und

bewerten der Leistung und

Übereinstimmung 1 1 1 0


bewerten des Systems der

internen Kontrolle 1 1 1 0


bewerten die Compliance mit

externen Anforderungen 1 1 1 0

ISO 27001 basierende

Merkmale Cobit 5 ISO 27001 Cobit 4.0 BSI

Physische und

umgebungsbezogene Sicherheit 0 1 0 1

0 1 0 1

Zugangskontrolle 0 1 0 1

0 1 0 1

0 1 0 1

0 1 0 1

0 1 0 1

0 1 0 1

0 1 0 1


Evaluate, Direct and Monitor 5 5 0 2

Align, Plan and Organise 13 8 9 6

Build, Aquire and Implement 10 3 3 4

Deliver, Service and Support 6 5 6 2

Monitor, Evaluate and Assess 3 3 3 0


Merkmale 0 9 0 9

Anhänge 2



Evaluate, Direct and Monitor Cobit 5 ISO 27001 Cobit 4.0 BSI

Gibt es Regelungen bezüglich 1 1 0 1

Werden die erstellten Vorteile 1 1 0 1

Werden Risiken optimiert? 1 1 0 0

Gibt es eine 1 1 0 0

Werden Stakeholder mit 1 1 0 0

Align, Plan and Organise Cobit 5 ISO 27001 Cobit 4.0 BSI

Verwalten von IT Management 1 1 0 0

Verwalten von Strategien 1 1 1 0

Verwalten der 1 0 1 1

Verwalten von Innovation 1 0 0 0

Verwalten des Portfolios 1 0 0 0

Verwalten des Budget und der 1 0 1 0

Verwalten des Personals 1 1 1 1

Verwalten der Beziehungen 1 1 1 1

Verwalten von Service-Verträgen 1 0 1 0

Verwalten von Lieferanten 1 1 1 1

Verwalten der Qualität 1 1 1 0

Verwalten des Risikos 1 1 1 1

Verwalten der Sicherheit 1 1 0 1

Build, Aquire and Implement Cobit 5 ISO 27001 Cobit 4.0 BSI

Verwalten von Programmen und 1 0 1 1



Verwalten der Erreichbarkeit und 1 0 0 0

Verwalten von Organisatorischen 1 0 0 0

Verwalten von Change 1 0 1 1

Verwalten der Akzeptanz der

Veränderung und dem Übergang 1 0 0 0

Verwalten von Wissen 1 1 0 1

Verwalten von Anlagen 1 1 0 0

Verwalten der Konfiguration 1 0 0 0

Deliver, Service and Support Cobit 5 ISO 27001 Cobit 4.0 BSI

Verwalten des Betriebs 1 1 1 1

Verwalten von Servicerequests

und Ereignisse 1 1 1 0

Verwalten von Problemen 1 0 1 1

Verwalten der Kontinuität 1 1 1 0

Verwalten von

Sicherheitsservicen 1 1 1 0

Verwalten von Kontrollen der

Businessprozessen 1 1 1 0

Monitor, Evaluate and Assess Cobit 5 ISO 27001 Cobit 4.0 BSI


bewerten der Leistung und

Übereinstimmung 1 1 1 0


bewerten des Systems der

internen Kontrolle 1 1 1 0


bewerten die Compliance mit

externen Anforderungen 1 1 1 0


Merkmale Cobit 5 ISO 27001 Cobit 4.0 BSI

Physische und

umgebungsbezogene Sicherheit 0 1 0 1

0 1 0 1

Zugangskontrolle 0 1 0 1

0 1 0 1

0 1 0 1

0 1 0 1

0 1 0 1

0 1 0 1

0 1 0 1


Evaluate, Direct and Monitor 5 5 0 2

Align, Plan and Organise 13 8 9 6

Build, Aquire and Implement 10 3 3 4

Deliver, Service and Support 6 5 6 2

Monitor, Evaluate and Assess 3 3 3 0


Merkmale 0 9 0 9

Vertraulichkeitserklärung

Wir erklären hiermit, dass wir:

- den Inhalt dieser Arbeit unter Angabe aller relevanten Quellen selbständig verfasst

haben.

- die uns anvertrauten Informationen von Seiten der Kundschaft auch nach Abgabe der

Arbeit vertraulich behandeln werden.

- ohne Zustimmung der Wissenstransferstelle WTT-FHS und der Kundschaft keine Kopien

dieser Arbeit an Dritte aushändigen werden.

Ort/Datum: Namen:

St. Gallen, 04.01.2013 Tobias Angehrn

Michael Schubiger

Pascal Eigenmann

Gabriela Caduff

COBIT 5 FOR INFORMATION SECURITY– EIN...

Documents

Transcript of COBIT 5 FOR INFORMATION SECURITY– EIN...