IT-Grundschutz/Sicherheitsprozess: Unterschied zwischen den Versionen

Aus Foxwiki
Keine Bearbeitungszusammenfassung
 
(7 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 3: Zeile 3:
== Beschreibung ==
== Beschreibung ==
Informationssicherheit ist kein Zustand, der einmal erreicht wird und dann fortbesteht, sondern ein Prozess, der kontinuierlich angepasst werden muss.  
Informationssicherheit ist kein Zustand, der einmal erreicht wird und dann fortbesteht, sondern ein Prozess, der kontinuierlich angepasst werden muss.  
* Geänderte Verfahren und Prozesse in einer Institution, der Wandel in den gesetzlichen Rahmenbedingungen, neue Technik, aber auch bislang unbekannte Schwachstellen und daraus erwachsende Gefährdungen stellen immer wieder neue Anforderungen, so dass die nachhaltige Angemessenheit und Wirksamkeit nicht automatisch gewährleistet sind.
* Der gesamte '''Sicherheitsprozess unterliegt daher einem Lebenszyklus''', der sich in folgende Phasen gliedert:
* '''Plan''' – Planung von Sicherheitsmaßnahmen
* '''Do''' – Umsetzung der Maßnahmen,
* '''Check''' – Erfolgskontrolle, Überwachung der Zielerreichung,
* '''Act''' – Beseitigung von Defiziten, Verbesserung.


Dieser '''-Zyklus''' nach William Edwards Deming ist ein bewährter Bestandteil vieler Managementsysteme, etwa auch des Qualitäts- und Umweltmanagements.
Geänderte Verfahren und Prozesse in einer Institution, der Wandel in den gesetzlichen Rahmenbedingungen, neue Technik, aber auch bislang unbekannte Schwachstellen und daraus erwachsende Gefährdungen stellen immer wieder neue Anforderungen, so dass die nachhaltige Angemessenheit und Wirksamkeit nicht automatisch gewährleistet sind.  


Insbesondere die''' Erfolgskontrolle und die kontinuierliche Verbesserung''' gehören zu den wichtigsten Managementprinzipien im Sicherheitsprozess.  
== Lebenszyklus ==
Der gesamte '''Sicherheitsprozess unterliegt daher einem Lebenszyklus''', der sich in folgende Phasen gliedert:
 
'''Plan''' – Planung von Sicherheitsmaßnahmen
 
'''Do''' – Umsetzung der Maßnahmen
 
'''Check''' – Erfolgskontrolle, Überwachung der Zielerreichung
 
'''Act''' – Beseitigung von Defiziten, Verbesserung
 
Dieser '''Zyklus''' nach William Edwards Deming ist ein bewährter Bestandteil vieler Managementsysteme, etwa auch des Qualitäts- und Umweltmanagements
 
; Erfolgskontrolle und die kontinuierliche Verbesserung
Insbesondere die '''Erfolgskontrolle und die kontinuierliche Verbesserung''' gehören zu den wichtigsten Managementprinzipien im Sicherheitsprozess.  
* Ohne regelmäßige Überprüfung ist die Wirksamkeit der organisatorischen und technischen Schutzmaßnahmen auf Dauer nicht sichergestellt.
* Ohne regelmäßige Überprüfung ist die Wirksamkeit der organisatorischen und technischen Schutzmaßnahmen auf Dauer nicht sichergestellt.


Dokumentation ist kein Selbstzweck, eine '''gute Dokumentation''' trägt aber dazu bei, den Sicherheitsprozess und getroffene Entscheidungen nachvollziehbar zu gestalten und Missverständnisse zu vermeiden.  
; Dokumentation ist kein Selbstzweck
* eine '''gute Dokumentation''' trägt aber dazu bei, den Sicherheitsprozess und getroffene Entscheidungen nachvollziehbar zu gestalten und Missverständnisse zu vermeiden.  
* Sie muss nicht in Papierform vorliegen.  
* Sie muss nicht in Papierform vorliegen.  
* Eine elektronische Form hat den Vorteil, leicht aktualisierbar und bei Bedarf schnell verfügbar zu sein, wobei die Zugriffsrechte sorgfältig zu regeln sind.
* Eine elektronische Form hat den Vorteil, leicht aktualisierbar und bei Bedarf schnell verfügbar zu sein, wobei die Zugriffsrechte sorgfältig zu regeln sind.


; Informationsklassifizierung
Um Informationen angemessen schützen zu können, muss ihre Bedeutung für die Institution klar sein.  
Um Informationen angemessen schützen zu können, muss ihre Bedeutung für die Institution klar sein.  
* Dies kann durch eine '''Informationsklassifizierung''' unterstützt werden, bei der Dokumente gemäß ihrer Vertraulichkeit klassifiziert werden und für deren Behandlung Regeln festgelegt sind, die dieser Klassifizierung entsprechen.  
* Dies kann durch eine '''Informationsklassifizierung''' unterstützt werden, bei der Dokumente gemäß ihrer Vertraulichkeit klassifiziert werden und für deren Behandlung Regeln festgelegt sind, die dieser Klassifizierung entsprechen.  
* Durch einen Klassifizierungsvermerk kann jeder Mitarbeiter unmittelbar erkennen, wie er mit den eingestuften Informationen umzugehen hat.
* Durch einen Klassifizierungsvermerk kann jeder Mitarbeiter unmittelbar erkennen, wie er mit den eingestuften Informationen umzugehen hat.


; Anforderungen an die Dokumentation
Weitere wichtige Hinweise über die Anforderungen an die Dokumentation sowie über die Gestaltung von Informationsflüssen und Meldewegen im Sicherheitsprozess finden Sie in Kapitel 5 des BSI-Standards 200-2: [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/BSI_Standards/standard_200_2.html -Grundschutz-Methodik].  
Weitere wichtige Hinweise über die Anforderungen an die Dokumentation sowie über die Gestaltung von Informationsflüssen und Meldewegen im Sicherheitsprozess finden Sie in Kapitel 5 des BSI-Standards 200-2: [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/BSI_Standards/standard_200_2.html -Grundschutz-Methodik].  
* Am Beginn dieses Kapitels ist auch ein Vorgehensmodell zur Informationsklassifizierung beschrieben.
* Am Beginn dieses Kapitels ist auch ein Vorgehensmodell zur Informationsklassifizierung beschrieben.
Zeile 31: Zeile 42:
Im Einzelnen gliedert sich der Sicherheitsprozess in die nachfolgend dargestellten Phasen und Teilaktivitäten.
Im Einzelnen gliedert sich der Sicherheitsprozess in die nachfolgend dargestellten Phasen und Teilaktivitäten.


=== Initiierung, Erstellung einer Informationssicherheitsleitlinie und Aufbau einer Sicherheitsorganisation ===
=== Initiierung===
==== Leitlinie und Sicherheitsorganisation ====
; Erstellung einer [[Informationssicherheitsleitlinie]] und Aufbau einer [[Sicherheitsorganisation]]
Damit der Sicherheitsprozess den eigenen Erfordernissen entspricht, müssen zunächst die relevanten '''Rahmenbedingungen''' identifiziert und analysiert werden.  
Damit der Sicherheitsprozess den eigenen Erfordernissen entspricht, müssen zunächst die relevanten '''Rahmenbedingungen''' identifiziert und analysiert werden.  
* Hierzu gehören etwa die Sicherheitsanforderungen, die Kunden stellen oder Behörden als Auflagen formulieren.  
* Hierzu gehören etwa die Sicherheitsanforderungen, die Kunden stellen oder Behörden als Auflagen formulieren.  
Zeile 37: Zeile 50:
* Wenn es bereits Initiativen in der Institution gibt, Informationssicherheit voranzutreiben, müssen diese ermittelt und bewertet werden, und sollten bereits technische oder organisatorische Maßnahmen umgesetzt sein, müssen diese in den neu zu gestalteten Prozess integriert werden.
* Wenn es bereits Initiativen in der Institution gibt, Informationssicherheit voranzutreiben, müssen diese ermittelt und bewertet werden, und sollten bereits technische oder organisatorische Maßnahmen umgesetzt sein, müssen diese in den neu zu gestalteten Prozess integriert werden.


Großen Einfluss auf den Sicherheitsprozess haben die Ziele, die sich mit ihm verbinden.  
; Großen Einfluss auf den Sicherheitsprozess haben die Ziele, die sich mit ihm verbinden.  
* Dabei werden aus den Zielen der Institution und den Rahmenbedingungen die '''Informationssicherheitsziele''' abgeleitet.  
* Dabei werden aus den Zielen der Institution und den Rahmenbedingungen die '''Informationssicherheitsziele''' abgeleitet.  
* Sie werden in der '''Leitlinie zur Informationssicherheit''' festgehalten und allen Mitarbeitern bekannt gemacht.  
* Sie werden in der '''Leitlinie zur Informationssicherheit''' festgehalten und allen Mitarbeitern bekannt gemacht.  
Zeile 49: Zeile 62:


=== Erstellung eines Sicherheitskonzepts ===
=== Erstellung eines Sicherheitskonzepts ===
Um die Sicherheitsziele zu erreichen, müssen in einem Konzept geeignete t'''echnische und organisatorische Maßnahmen''' festgelegt werden.
Um die Sicherheitsziele zu erreichen, müssen in einem Konzept geeignete technische und organisatorische Maßnahmen festgelegt werden
 
* Maßnahmen zur physischen Absicherung von Gebäuden und Räumlichkeiten
; Dies sind beispielsweise
* technische Vorkehrungen zur Absicherung der Schnittstellen eines Netzes und seiner Segmente
* Maßnahmen zur physischen Absicherung von Gebäuden und Räumlichkeiten,
* Regelungen zum Umgang mit klassifizierten Informationen
* technische Vorkehrungen zur Absicherung der Schnittstellen eines Netzes und seiner Segmente,
* ein geeignetes Identitäts- und Berechtigungsmanagement
* Regelungen zum Umgang mit klassifizierten Informationen,
* die Anwendung kryptographischer Maßnahmen
* ein geeignetes Identitäts- und Berechtigungsmanagement,
* ausreichende Datensicherungsverfahren
* die Anwendung kryptographischer Maßnahmen,
* Verfahren zur Erkennung und Abwehr von Schadsoftware
* ausreichende Datensicherungsverfahren,
* ...
* Verfahren zur Erkennung und Abwehr von Schadsoftware.
 
In den folgenden Lektionen dieses Kurses wird die Sicherheitskonzeption gemäß -Grundschutz detailliert beschrieben.


=== Umsetzung des Konzepts ===
=== Umsetzung des Konzepts ===

Aktuelle Version vom 25. November 2024, 21:33 Uhr

IT-Grundschutz/Sicherheitsprozess -

Beschreibung

Informationssicherheit ist kein Zustand, der einmal erreicht wird und dann fortbesteht, sondern ein Prozess, der kontinuierlich angepasst werden muss.

Geänderte Verfahren und Prozesse in einer Institution, der Wandel in den gesetzlichen Rahmenbedingungen, neue Technik, aber auch bislang unbekannte Schwachstellen und daraus erwachsende Gefährdungen stellen immer wieder neue Anforderungen, so dass die nachhaltige Angemessenheit und Wirksamkeit nicht automatisch gewährleistet sind.

Lebenszyklus

Der gesamte Sicherheitsprozess unterliegt daher einem Lebenszyklus, der sich in folgende Phasen gliedert:

Plan – Planung von Sicherheitsmaßnahmen

Do – Umsetzung der Maßnahmen

Check – Erfolgskontrolle, Überwachung der Zielerreichung

Act – Beseitigung von Defiziten, Verbesserung

Dieser Zyklus nach William Edwards Deming ist ein bewährter Bestandteil vieler Managementsysteme, etwa auch des Qualitäts- und Umweltmanagements

Erfolgskontrolle und die kontinuierliche Verbesserung

Insbesondere die Erfolgskontrolle und die kontinuierliche Verbesserung gehören zu den wichtigsten Managementprinzipien im Sicherheitsprozess.

  • Ohne regelmäßige Überprüfung ist die Wirksamkeit der organisatorischen und technischen Schutzmaßnahmen auf Dauer nicht sichergestellt.
Dokumentation ist kein Selbstzweck
  • eine gute Dokumentation trägt aber dazu bei, den Sicherheitsprozess und getroffene Entscheidungen nachvollziehbar zu gestalten und Missverständnisse zu vermeiden.
  • Sie muss nicht in Papierform vorliegen.
  • Eine elektronische Form hat den Vorteil, leicht aktualisierbar und bei Bedarf schnell verfügbar zu sein, wobei die Zugriffsrechte sorgfältig zu regeln sind.
Informationsklassifizierung

Um Informationen angemessen schützen zu können, muss ihre Bedeutung für die Institution klar sein.

  • Dies kann durch eine Informationsklassifizierung unterstützt werden, bei der Dokumente gemäß ihrer Vertraulichkeit klassifiziert werden und für deren Behandlung Regeln festgelegt sind, die dieser Klassifizierung entsprechen.
  • Durch einen Klassifizierungsvermerk kann jeder Mitarbeiter unmittelbar erkennen, wie er mit den eingestuften Informationen umzugehen hat.
Anforderungen an die Dokumentation

Weitere wichtige Hinweise über die Anforderungen an die Dokumentation sowie über die Gestaltung von Informationsflüssen und Meldewegen im Sicherheitsprozess finden Sie in Kapitel 5 des BSI-Standards 200-2: -Grundschutz-Methodik.

  • Am Beginn dieses Kapitels ist auch ein Vorgehensmodell zur Informationsklassifizierung beschrieben.

Phasen des Sicherheitsprozesses

Damit ein geregelter Sicherheitsprozess etabliert werden kann, muss die Leitungsebene ihn initiieren, Ziele und Rahmenbedingungen festlegen, eine Organisationsstruktur aufbauen und Ressourcen bereitstellen.

Im Einzelnen gliedert sich der Sicherheitsprozess in die nachfolgend dargestellten Phasen und Teilaktivitäten.

Initiierung

Leitlinie und Sicherheitsorganisation

Erstellung einer Informationssicherheitsleitlinie und Aufbau einer Sicherheitsorganisation

Damit der Sicherheitsprozess den eigenen Erfordernissen entspricht, müssen zunächst die relevanten Rahmenbedingungen identifiziert und analysiert werden.

  • Hierzu gehören etwa die Sicherheitsanforderungen, die Kunden stellen oder Behörden als Auflagen formulieren.
  • Wenn es regulatorische Auflagen gibt, werden diese die Sicherheitsziele und die zu entwickelnden Konzepte stark beeinflussen.
  • Wenn es bereits Initiativen in der Institution gibt, Informationssicherheit voranzutreiben, müssen diese ermittelt und bewertet werden, und sollten bereits technische oder organisatorische Maßnahmen umgesetzt sein, müssen diese in den neu zu gestalteten Prozess integriert werden.
Großen Einfluss auf den Sicherheitsprozess haben die Ziele, die sich mit ihm verbinden.
  • Dabei werden aus den Zielen der Institution und den Rahmenbedingungen die Informationssicherheitsziele abgeleitet.
  • Sie werden in der Leitlinie zur Informationssicherheit festgehalten und allen Mitarbeitern bekannt gemacht.
  • Aus diesen Zielen leitet sich auch das angestrebte Sicherheitsniveau für die Geschäftsprozesse ab.

Um die erforderlichen Maßnahmen umzusetzen, ist der Aufbau einer Sicherheitsorganisation erforderlich und sind Verantwortlichkeiten zu schaffen.

  • Weitere Ressourcen wie Räumlichkeiten, Budget und Zeit sind bereitzustellen.

Und letztlich ist Informationssicherheit nicht nur eine Aufgabe der Leitung und des Sicherheitsorganisa­tionsteams, sondern alle Mitarbeiter sind hierfür in ihrem Wirkungsbereich verantwortlich.

  • Ohne ihre Mitwirkung wird eine Institution ihre Sicherheitsziele verfehlen.

Erstellung eines Sicherheitskonzepts

Um die Sicherheitsziele zu erreichen, müssen in einem Konzept geeignete technische und organisatorische Maßnahmen festgelegt werden

  • Maßnahmen zur physischen Absicherung von Gebäuden und Räumlichkeiten
  • technische Vorkehrungen zur Absicherung der Schnittstellen eines Netzes und seiner Segmente
  • Regelungen zum Umgang mit klassifizierten Informationen
  • ein geeignetes Identitäts- und Berechtigungsmanagement
  • die Anwendung kryptographischer Maßnahmen
  • ausreichende Datensicherungsverfahren
  • Verfahren zur Erkennung und Abwehr von Schadsoftware
  • ...

Umsetzung des Konzepts

Im Sicherheitskonzept muss dargestellt werden, wie die Maßnahmen umzusetzen und zu überprüfen sind.

  • Dies ist eine Vorgabe für die Bewertung durch die Leitungsebene.

Aufrechterhaltung und Verbesserung

Informationssicherheit ist kein zeitlich begrenztes Projekt, sondern ein Prozess, der kontinuierlich das Sicherheitskonzept an veränderte Anforderungen anpasst.

  • Mit geeigneten Instrumenten, etwa Kennzahlen oder internen und externen Audits, muss regelmäßig geprüft werden, ob die Informationssicherheitsziele erreicht werden.
  • Abweichungen müssen zur Behebung und Verbesserung führen.


Anhang

Siehe auch

Links

Weblinks