COBIT goes EU

Ordnungsmerkmale

erschienen in: <kes> 2005^#4, Seite 20

Zusammenfassung: Die EU-Kommission hat die Control Objectives for Information and related Technology (COBIT) als einen von drei akzeptierten Standards zur IT-Sicherheit festgelegt.

Im Zuge der Änderung von Durchführungsbestimmungen beim Rechnungsabschlussverfahren des Europäischen Ausrichtungs- und Garantiefonds für die Landwirtschaft (EAGFL) hat die EU-Kommission im März die Anforderungen an die Vertraulichkeit, Vollständigkeit und Verfügbarkeit von Computerdaten konkretisiert. Statt einer allgemeinen Forderung "angemessener Verfahren" muss sich die Sicherheit von Informationssystemen nun "auf die Kriterien ... eines der folgenden internationalen Standards" stützen: ISO 17 799 / BS 7799 "Code of practice for Information Security Management", das IT-Grundschutzhandbuch des Bundesamts für Sicherheit in der Informationstechnik (BSI) oder die Control Objectives for Information and related Technology (COBIT) der Information Systems Audit and Control Association (ISACA).

IT Governance Institute

"Diese Verordnung ist ein großer Schritt nach vorne, um Informationssysteme in der ganzen EU in höherem Maße schützen zu können", erklärte hierzu Georges Ataya, Leitungsmitglied des IT Governance Institute (ITGI,  www.itgi.org). Diese Einrichtung wurde 1998 gegründet, um das Bewusstsein von Unternehmen im Hinblick auf die Kontrolle der Informationstechnik zu schärfen und die Entwicklung internationaler Standards in diesem Bereich voranzutreiben. ITGI bietet Symposien, Grundlagenforschung und Fallstudien an, um den Führungskräften und den Vorständen von Unternehmen bei der Verantwortung für die Sicherheit ihrer Informationssysteme zu helfen.

Gutes Beispiel

Ataya, der auch Professor an der Solvay Business School in Brüssel ist, führte weiter aus: "Alle Unternehmen und Organisationen sollten schon zum Schutz ihrer Kunden, Auftraggeber und Angestellten internationale Systemsicherheitsstandards berücksichtigen – unabhängig davon, ob öffentliche Einrichtung oder Privatunternehmen." Die Institutionen der Europäischen Union gehen nun mit gutem Beispiel voran. Vor allem die Dienststellen des EAGFL, die für die Auszahlung der Subventionen im Agrarsektor zuständig sind, wurden angewiesen, rückwirkend zum 16. Oktober 2004 einen der drei genannten Standards zu erfüllen.

Die Generaldirektion Landwirtschaft und ländliche Entwicklung der Europäischen Union, die im Jahre 2004 mit 98 Milliarden Euro rund die Hälfte des gesamten EU-Budgets verwaltete, hatte die Wichtigkeit eines umfassenden IT-Sicherheitsmanagements bereits frühzeitig erkannt und sich schon 2001 für COBIT entschieden. Seitdem arbeitet das IT Governance Institute eng mit der Generaldirektion Landwirtschaft und ländliche Entwicklung zusammen und führt für die Auditoren regelmäßig Schulungen durch.

Die neue EU-Verordnung Nr. 465/2005 legt nun fest, dass Auditoren ab dem Haushaltsjahr 2008 einen Nachweis über die Sicherheitsmaßnahmen auf der Grundlage der jeweils angewendeten Standards zu erbringen haben. Während der Haushaltsjahre 2004 bis 2007 müssen die Prüfungsberichte eine Bewertungsziffer für jeden Bereich des gewählten Standards auf der Grundlage des Maturity-Modells enthalten, das direkt aus dem COBIT "Generic Process Maturity Model" entwickelt wurde.

Die Verordnung steht in den 19 offiziellen EU Sprachen auf Seite 6 des Amtsblatts der Europäischen Union unter  http://europa.eu.int/eur-lex/lex/JOHtml.do?uri=OJ:L:2005:077:SOM:DE:HTML oder (auf Deutsch) direkt via  http://europa.eu.int/eur-lex/lex/LexUriServ/LexUriServ.do?uri=CELEX:32005R0465:DE:HTML zur Verfügung.

COBIT liegt mittlerweile in Release 3.2 vor, besteht aus gängigen, generell akzeptierten Praktiken (Best Practices) und dient der Steuerung und Überwachung der Sicherheit von Informationstechnik. Materialien zu COBIT liegen auf  www.isaca.org/cobit/ zum freien Download bereit.

zurück zum Inhalt
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2005^#4, Seite 20