Agiles Informationssicherheitsmanagement

Master Studiengang Information Security

Dipl.-Ing. Lena-Valerie Rechberger, BSc

Betreuer: FH-Prof. Mag. Dr. Simon Tjoa

Ausgangslage

Die Welt der Informationssicherheit ist heutzutage mehr denn je von Komplexität und raschen Veränderungen geprägt, wodurch der Schutz von Informationswerten eine ständige Herausforderung darstellt. Aufgrund der langfristigen Planungszyklen und den umfangreichen Dokumentationsanforderungen werden Informationssicherheitsmanagementsysteme (ISMS) nach der Norm ISO 27001 jedoch gelegentlich als schwerfällig, unflexibel und somit ungeeignet für ein schnelllebiges Umfeld kritisiert.

Im Bereich der Softwareentwicklung hingegen existieren bereits einige Rahmenwerke, die sich durch ein iteratives, inkrementelles Vorgehen mit häufigen Feedbackschleifen kennzeichnen, wodurch eine rasche Reaktion auf veränderte Rahmenbedingungen ermöglicht wird.

Ziel

Das Ziel dieser Arbeit ist es daher, festzustellen, ob und wie die Flexibilität und Anpassungsfähigkeit agiler Ansätze im Kontext eines ISMS genutzt werden kann. Dazu wurde den Forschungsfragen nachgegangen, welche Grundsätze agilen Vorgehensmodellen und einem Informationssicherheitsmanagementsystem zugrunde liegen, ob sich diese beiden Ansätze verbinden lassen und wie ein solches Modell für ein agiles ISMS aussehen kann.

Ergebnis

Zur Beantwortung wurden die zentralen Konzepte eines ISMS sowie die Grundsätze und Prinzipien agiler Ansätze und Scrum anhand einer umfassenden, qualitativen Literaturanalyse ermittelt und gegenübergestellt. Zudem wurde eine Literaturrecherche zur Erhebung ähnlicher Ansätze durchgeführt. Darauf aufbauend wurden agile Werte und Prinzipien für das Informationssicherheitsmanagement abgeleitet, die Vereinbarkeit der beiden Ansätze analysiert und daraus ein theoretisches Vorgehensmodell für ein agiles ISMS entwickelt.

Da sich der Einsatz agiler Vorgehensmodelle nicht für alle Bestandteile eines ISMS gleichermaßen eignet, wurde ein kombinierter Ansatz in Anlehnung an das Konzept der bimodalen IT gewählt, welcher einerseits die plangetriebenen Aktivitäten eines ISMS angemessen berücksichtigt und andererseits flexible Reaktionen im Bereich des Risikomanagements und der Maßnahmenumsetzung ermöglicht. Die Arbeit zeigt somit, dass eine Verbindung agiler Herangehensweisen mit dem Bereich des Informationssicherheitsmanagements nach ISO 27001 machbar ist und beschreibt eine mögliche Variante für die Umsetzung.