IT-Grundschutz/Kennzahlen

Aus Foxwiki

Grundschutz/Kennzahlen - Beschreibung

Beschreibung

Kennzahlen

Bewährtes Instrument zur Kommunikation über Erfolge und Probleme

Indikatoren für die Güte
  • Sicherheitsprozesses
  • Einzelner Sicherheitsaspekte
Beispiele

Schichten des IT-Grundschutz/Kompendiums

  • Technisch
  • Organisatorisch
Kennzahlen zur Informationssicherheit
Baustein Bezeichnung Anforderung Kennzahl
ISMS.1 Sicherheitsmanagement Die Leitungsebene SOLLTE regelmäßig über den Stand der Informationssicherheit informiert werden. Anzahl der Leitungsmeetings mit Sicherheitsreport / Anzahl aller Leitungsmeetings
ORP.2 Personal Aufgaben und Zuständigkeiten von Mitarbeitern SOLLTEN in geeigneter Weise dokumentiert sein. Anzahl der Mitarbeiterverträge mit Verpflichtung zur sicheren Handhabung von Informationen / Anzahl aller Mitarbeiterverträge
CON.3 Datensicherungskonzept Die Datensicherung und ein möglicherweise vorzunehmender Restore SOLLTEN regelmäßig getestet werden. Anzahl erfolgreicher Tests / Gesamtzahl der Tests zur Wiederherstellung gesicherter Daten
OPS.1.1.2 Ordnungsgemäße IT-Administration Die Befugnisse, Aufgaben und Pflichten der -Administratoren SOLLTEN in einer Arbeitsanweisung oder Richtlinie verbindlich festgeschrieben werden. Anzahl von Arbeitsanweisungen / Anzahl aller Administratoren
DER.1 Detektion von sicherheitsrelevanten Ereignissen Die gesammelten Ereignismeldungen der -Systeme und Anwendungssysteme SOLLTEN auf einer zentralen Protokollinfrastruktur aufbewahrt werden. Anzahl zentral gesammelter Ereignismeldungen / Anzahl aller Ereignismeldungen
APP.1.1 Office-Produkte Neue Office-Produkte SOLLTEN vor dem Einsatz auf Kompatibilität mit etablierten Arbeitsmitteln getestet werden. Anzahl der eingesetzten getesteten Office-Produkte / Anzahl aller eingesetzten Office-Produkte
SYS.1.1 Allgemeiner Server Ablauf, Rahmenbedingungen und Anforderungen an administrative Aufgaben sowie die Aufgabentrennungen zwischen den verschiedenen Rollen der Benutzer des -Systems SOLLTEN in einem Benutzer- und Administrationskonzept festgeschrieben werden. Anzahl von Servern mit detailliertem Administrationskonzept / Anzahl aller Server
Vielzahl an Kennzahlen

Diese Beispiele verdeutlichen, dass für eine umfassende Bewertung der Informationssicherheit eine Vielzahl an Kennzahlen nötig ist.

  • Erhebung, Berechnung und Aufbereitung der Kennzahlen erfordern unter Umständen einen sehr hohen Aufwand
  • wobei technische Kennzahlen oft automatisiert erhoben werden können und
  • damit der bei ihnen anfallende Aufwand meist geringer ist als bei organisatorischen Kennzahlen.
Aufwand

Damit der Aufwand in einem angemessenen Verhältnis zum Ergebnis steht, ist es wichtig, dass die Ziele der Kennzahlen klar formuliert und der erforderliche Aufwand für die Erhebung der Messwerte gut abgeschätzt werden.

  • Wenn Sie planen, in Ihrer Institution Kennzahlen zur Informationssicherheit einzuführen, empfiehlt es sich, zunächst mit wenigen Kennzahlen zu starten und diese dann mithilfe der gewonnenen Erfahrungen Schritt für Schritt zu ergänzen.


Anhang

Siehe auch

Links

Weblinks