IT-Grundschutz/Sicherheitsprozess
topic - Beschreibung
Beschreibung
Informationssicherheit ist kein Zustand, der einmal erreicht wird und dann fortbesteht, sondern ein Prozess, der kontinuierlich angepasst werden muss.
- Geänderte Verfahren und Prozesse in einer Institution, der Wandel in den gesetzlichen Rahmenbedingungen, neue Technik, aber auch bislang unbekannte Schwachstellen und daraus erwachsende Gefährdungen stellen immer wieder neue Anforderungen, so dass die nachhaltige Angemessenheit und Wirksamkeit nicht automatisch gewährleistet sind.
- Der gesamte Sicherheitsprozess unterliegt daher einem Lebenszyklus, der sich in folgende Phasen gliedert:
- Plan – Planung von Sicherheitsmaßnahmen
- Do – Umsetzung der Maßnahmen,
- Check – Erfolgskontrolle, Überwachung der Zielerreichung,
- Act – Beseitigung von Defiziten, Verbesserung.
Dieser -Zyklus nach William Edwards Deming ist ein bewährter Bestandteil vieler Managementsysteme, etwa auch des Qualitäts- und Umweltmanagements.
Insbesondere die Erfolgskontrolle und die kontinuierliche Verbesserung gehören zu den wichtigsten Managementprinzipien im Sicherheitsprozess.
- Ohne regelmäßige Überprüfung ist die Wirksamkeit der organisatorischen und technischen Schutzmaßnahmen auf Dauer nicht sichergestellt.
Dokumentation ist kein Selbstzweck, eine gute Dokumentation trägt aber dazu bei, den Sicherheitsprozess und getroffene Entscheidungen nachvollziehbar zu gestalten und Missverständnisse zu vermeiden.
- Sie muss nicht in Papierform vorliegen.
- Eine elektronische Form hat den Vorteil, leicht aktualisierbar und bei Bedarf schnell verfügbar zu sein, wobei die Zugriffsrechte sorgfältig zu regeln sind.
Um Informationen angemessen schützen zu können, muss ihre Bedeutung für die Institution klar sein.
- Dies kann durch eine Informationsklassifizierung unterstützt werden, bei der Dokumente gemäß ihrer Vertraulichkeit klassifiziert werden und für deren Behandlung Regeln festgelegt sind, die dieser Klassifizierung entsprechen.
- Durch einen Klassifizierungsvermerk kann jeder Mitarbeiter unmittelbar erkennen, wie er mit den eingestuften Informationen umzugehen hat.
Weitere wichtige Hinweise über die Anforderungen an die Dokumentation sowie über die Gestaltung von Informationsflüssen und Meldewegen im Sicherheitsprozess finden Sie in Kapitel 5 des BSI-Standards 200-2: -Grundschutz-Methodik.
- Am Beginn dieses Kapitels ist auch ein Vorgehensmodell zur Informationsklassifizierung beschrieben.
Phasen des Sicherheitsprozesses
Damit ein geregelter Sicherheitsprozess etabliert werden kann, muss die Leitungsebene ihn initiieren, Ziele und Rahmenbedingungen festlegen, eine Organisationsstruktur aufbauen und Ressourcen bereitstellen.
Im Einzelnen gliedert sich der Sicherheitsprozess in die nachfolgend dargestellten Phasen und Teilaktivitäten.
Initiierung, Erstellung einer Informationssicherheitsleitlinie und Aufbau einer Sicherheitsorganisation
Damit der Sicherheitsprozess den eigenen Erfordernissen entspricht, müssen zunächst die relevanten Rahmenbedingungen identifiziert und analysiert werden.
- Hierzu gehören etwa die Sicherheitsanforderungen, die Kunden stellen oder Behörden als Auflagen formulieren.
- Wenn es regulatorische Auflagen gibt, werden diese die Sicherheitsziele und die zu entwickelnden Konzepte stark beeinflussen.
- Wenn es bereits Initiativen in der Institution gibt, Informationssicherheit voranzutreiben, müssen diese ermittelt und bewertet werden, und sollten bereits technische oder organisatorische Maßnahmen umgesetzt sein, müssen diese in den neu zu gestalteten Prozess integriert werden.
Großen Einfluss auf den Sicherheitsprozess haben die Ziele, die sich mit ihm verbinden.
- Dabei werden aus den Zielen der Institution und den Rahmenbedingungen die Informationssicherheitsziele abgeleitet.
- Sie werden in der Leitlinie zur Informationssicherheit festgehalten und allen Mitarbeitern bekannt gemacht.
- Aus diesen Zielen leitet sich auch das angestrebte Sicherheitsniveau für die Geschäftsprozesse ab.
Um die erforderlichen Maßnahmen umzusetzen, ist der Aufbau einer Sicherheitsorganisation erforderlich und sind Verantwortlichkeiten zu schaffen.
- Weitere Ressourcen wie Räumlichkeiten, Budget und Zeit sind bereitzustellen.
Und letztlich ist Informationssicherheit nicht nur eine Aufgabe der Leitung und des Sicherheitsorganisationsteams, sondern alle Mitarbeiter sind hierfür in ihrem Wirkungsbereich verantwortlich.
- Ohne ihre Mitwirkung wird eine Institution ihre Sicherheitsziele verfehlen.
Erstellung eines Sicherheitskonzepts
Um die Sicherheitsziele zu erreichen, müssen in einem Konzept geeignete technische und organisatorische Maßnahmen festgelegt werden.
- Dies sind beispielsweise
- Maßnahmen zur physischen Absicherung von Gebäuden und Räumlichkeiten,
- technische Vorkehrungen zur Absicherung der Schnittstellen eines Netzes und seiner Segmente,
- Regelungen zum Umgang mit klassifizierten Informationen,
- ein geeignetes Identitäts- und Berechtigungsmanagement,
- die Anwendung kryptographischer Maßnahmen,
- ausreichende Datensicherungsverfahren,
- Verfahren zur Erkennung und Abwehr von Schadsoftware.
In den folgenden Lektionen dieses Kurses wird die Sicherheitskonzeption gemäß -Grundschutz detailliert beschrieben.
Umsetzung des Konzepts
Im Sicherheitskonzept muss dargestellt werden, wie die Maßnahmen umzusetzen und zu überprüfen sind.
- Dies ist eine Vorgabe für die Bewertung durch die Leitungsebene.
Aufrechterhaltung und Verbesserung
Informationssicherheit ist kein zeitlich begrenztes Projekt, sondern ein Prozess, der kontinuierlich das Sicherheitskonzept an veränderte Anforderungen anpasst.
- Mit geeigneten Instrumenten, etwa Kennzahlen oder internen und externen Audits, muss regelmäßig geprüft werden, ob die Informationssicherheitsziele erreicht werden.
- Abweichungen müssen zur Behebung und Verbesserung führen.