IT-Grundschutz/Sicherheitsprozess: Unterschied zwischen den Versionen
| (7 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
| Zeile 2: | Zeile 2: | ||
== Beschreibung == | == Beschreibung == | ||
Informationssicherheit ist | ; Informationssicherheit ist ein Prozess | ||
* Kein Zustand | |||
* Kontinuierliche Weiterentwicklung | |||
; Gründe für diese Dynamik | |||
Änderungen an | |||
* Verfahren/Prozessen | |||
* Standorten | |||
* Software | |||
* Techniken | |||
* Rahmenbedingungen | |||
** Rechtlich | |||
** Organisatorisch | |||
* Schwachastellen | |||
** bislang unbekannte Schwachstellen und daraus erwachsende Gefährdungen | |||
== Lebenszyklus == | stellen immer wieder neue Anforderungen, so dass die nachhaltige Angemessenheit und Wirksamkeit nicht automatisch gewährleistet sind. | ||
=== Lebenszyklus === | |||
Der Sicherheitsprozess unterliegt einem [[Deming Circle|Lebenszyklus]] | Der Sicherheitsprozess unterliegt einem [[Deming Circle|Lebenszyklus]] | ||
* '''Plan''' - Planung von Sicherheitsmaßnahmen | * '''Plan''' - Planung von Sicherheitsmaßnahmen | ||
| Zeile 13: | Zeile 27: | ||
* '''Act''' - Beseitigung von Defiziten, Verbesserung | * '''Act''' - Beseitigung von Defiziten, Verbesserung | ||
=== Kontinuierliche Verbesserung === | |||
; Erfolgskontrolle und die kontinuierliche Verbesserung | ; Erfolgskontrolle und die kontinuierliche Verbesserung | ||
Insbesondere die '''Erfolgskontrolle und die kontinuierliche Verbesserung''' gehören zu den wichtigsten Managementprinzipien im Sicherheitsprozess. | Insbesondere die '''Erfolgskontrolle und die kontinuierliche Verbesserung''' gehören zu den wichtigsten Managementprinzipien im Sicherheitsprozess. | ||
* Ohne regelmäßige Überprüfung ist die Wirksamkeit der organisatorischen und technischen Schutzmaßnahmen auf Dauer nicht sichergestellt. | * Ohne regelmäßige Überprüfung ist die Wirksamkeit der organisatorischen und technischen Schutzmaßnahmen auf Dauer nicht sichergestellt. | ||
=== Dokumentation === | |||
; Dokumentation ist kein Selbstzweck | ; Dokumentation ist kein Selbstzweck | ||
Eine '''gute Dokumentation''' trägt aber dazu bei, den Sicherheitsprozess und getroffene Entscheidungen nachvollziehbar zu gestalten und Missverständnisse zu vermeiden. | |||
* Sie muss nicht in Papierform vorliegen. | * Sie muss nicht in Papierform vorliegen. | ||
* Eine elektronische Form hat den Vorteil, leicht aktualisierbar und bei Bedarf schnell verfügbar zu sein, wobei die Zugriffsrechte sorgfältig zu regeln sind. | * Eine elektronische Form hat den Vorteil, leicht aktualisierbar und bei Bedarf schnell verfügbar zu sein, wobei die Zugriffsrechte sorgfältig zu regeln sind. | ||
| Zeile 34: | Zeile 50: | ||
; Phasen des Sicherheitsprozesses | ; Phasen des Sicherheitsprozesses | ||
Damit ein geregelter Sicherheitsprozess etabliert werden kann, muss die Leitungsebene ihn initiieren, Ziele und Rahmenbedingungen festlegen, eine Organisationsstruktur aufbauen und Ressourcen bereitstellen. | Damit ein geregelter Sicherheitsprozess etabliert werden kann, muss die Leitungsebene ihn initiieren, Ziele und Rahmenbedingungen festlegen, eine Organisationsstruktur aufbauen und Ressourcen bereitstellen. | ||
{| | |||
| Plan || Planung von Sicherheitsmaßnahmen | |||
|- | |||
| Do || Umsetzung der Maßnahmen | |||
|- | |||
| Check || Erfolgskontrolle, Überwachung der Zielerreichung | |||
|- | |||
| Act || Beseitigung von Defiziten, Verbesserung | |||
|} | |||
Im Einzelnen gliedert sich der Sicherheitsprozess in die nachfolgend dargestellten Phasen und Teilaktivitäten. | Im Einzelnen gliedert sich der Sicherheitsprozess in die nachfolgend dargestellten Phasen und Teilaktivitäten. | ||
=== Initiierung=== | === Initiierung=== | ||
; Leitlinie und Sicherheitsorganisation | |||
; Erstellung einer [[Informationssicherheitsleitlinie]] und Aufbau einer [[Sicherheitsorganisation]] | ; Erstellung einer [[Informationssicherheitsleitlinie]] und Aufbau einer [[Sicherheitsorganisation]] | ||
Damit der Sicherheitsprozess den eigenen Erfordernissen entspricht, müssen zunächst die relevanten '''Rahmenbedingungen''' identifiziert und analysiert werden. | Damit der Sicherheitsprozess den eigenen Erfordernissen entspricht, müssen zunächst die relevanten '''Rahmenbedingungen''' identifiziert und analysiert werden. | ||
Aktuelle Version vom 17. November 2025, 17:13 Uhr
IT-Grundschutz/Sicherheitsprozess
Beschreibung
- Informationssicherheit ist ein Prozess
- Kein Zustand
- Kontinuierliche Weiterentwicklung
- Gründe für diese Dynamik
Änderungen an
- Verfahren/Prozessen
- Standorten
- Software
- Techniken
- Rahmenbedingungen
- Rechtlich
- Organisatorisch
- Schwachastellen
- bislang unbekannte Schwachstellen und daraus erwachsende Gefährdungen
stellen immer wieder neue Anforderungen, so dass die nachhaltige Angemessenheit und Wirksamkeit nicht automatisch gewährleistet sind.
Lebenszyklus
Der Sicherheitsprozess unterliegt einem Lebenszyklus
- Plan - Planung von Sicherheitsmaßnahmen
- Do - Umsetzung der Maßnahmen
- Check - Erfolgskontrolle, Überwachung der Zielerreichung
- Act - Beseitigung von Defiziten, Verbesserung
Kontinuierliche Verbesserung
- Erfolgskontrolle und die kontinuierliche Verbesserung
Insbesondere die Erfolgskontrolle und die kontinuierliche Verbesserung gehören zu den wichtigsten Managementprinzipien im Sicherheitsprozess.
- Ohne regelmäßige Überprüfung ist die Wirksamkeit der organisatorischen und technischen Schutzmaßnahmen auf Dauer nicht sichergestellt.
Dokumentation
- Dokumentation ist kein Selbstzweck
Eine gute Dokumentation trägt aber dazu bei, den Sicherheitsprozess und getroffene Entscheidungen nachvollziehbar zu gestalten und Missverständnisse zu vermeiden.
- Sie muss nicht in Papierform vorliegen.
- Eine elektronische Form hat den Vorteil, leicht aktualisierbar und bei Bedarf schnell verfügbar zu sein, wobei die Zugriffsrechte sorgfältig zu regeln sind.
- Informationsklassifizierung
Um Informationen angemessen schützen zu können, muss ihre Bedeutung für die Institution klar sein.
- Dies kann durch eine Informationsklassifizierung unterstützt werden, bei der Dokumente gemäß ihrer Vertraulichkeit klassifiziert werden und für deren Behandlung Regeln festgelegt sind, die dieser Klassifizierung entsprechen.
- Durch einen Klassifizierungsvermerk kann jeder Mitarbeiter unmittelbar erkennen, wie er mit den eingestuften Informationen umzugehen hat.
- Anforderungen an die Dokumentation
Weitere wichtige Hinweise über die Anforderungen an die Dokumentation sowie über die Gestaltung von Informationsflüssen und Meldewegen im Sicherheitsprozess finden Sie in Kapitel 5 des BSI-Standards 200-2: -Grundschutz-Methodik.
- Am Beginn dieses Kapitels ist auch ein Vorgehensmodell zur Informationsklassifizierung beschrieben.
Phasen
- Phasen des Sicherheitsprozesses
Damit ein geregelter Sicherheitsprozess etabliert werden kann, muss die Leitungsebene ihn initiieren, Ziele und Rahmenbedingungen festlegen, eine Organisationsstruktur aufbauen und Ressourcen bereitstellen.
| Plan | Planung von Sicherheitsmaßnahmen |
| Do | Umsetzung der Maßnahmen |
| Check | Erfolgskontrolle, Überwachung der Zielerreichung |
| Act | Beseitigung von Defiziten, Verbesserung |
Im Einzelnen gliedert sich der Sicherheitsprozess in die nachfolgend dargestellten Phasen und Teilaktivitäten.
Initiierung
- Leitlinie und Sicherheitsorganisation
- Erstellung einer Informationssicherheitsleitlinie und Aufbau einer Sicherheitsorganisation
Damit der Sicherheitsprozess den eigenen Erfordernissen entspricht, müssen zunächst die relevanten Rahmenbedingungen identifiziert und analysiert werden.
- Hierzu gehören etwa die Sicherheitsanforderungen, die Kunden stellen oder Behörden als Auflagen formulieren.
- Wenn es regulatorische Auflagen gibt, werden diese die Sicherheitsziele und die zu entwickelnden Konzepte stark beeinflussen.
- Wenn es bereits Initiativen in der Institution gibt, Informationssicherheit voranzutreiben, müssen diese ermittelt und bewertet werden, und sollten bereits technische oder organisatorische Maßnahmen umgesetzt sein, müssen diese in den neu zu gestalteten Prozess integriert werden.
- Großen Einfluss auf den Sicherheitsprozess haben die Ziele, die sich mit ihm verbinden.
- Dabei werden aus den Zielen der Institution und den Rahmenbedingungen die Informationssicherheitsziele abgeleitet.
- Sie werden in der Leitlinie zur Informationssicherheit festgehalten und allen Mitarbeitern bekannt gemacht.
- Aus diesen Zielen leitet sich auch das angestrebte Sicherheitsniveau für die Geschäftsprozesse ab.
Um die erforderlichen Maßnahmen umzusetzen, ist der Aufbau einer Sicherheitsorganisation erforderlich und sind Verantwortlichkeiten zu schaffen.
- Weitere Ressourcen wie Räumlichkeiten, Budget und Zeit sind bereitzustellen.
Und letztlich ist Informationssicherheit nicht nur eine Aufgabe der Leitung und des Sicherheitsorganisationsteams, sondern alle Mitarbeiter sind hierfür in ihrem Wirkungsbereich verantwortlich.
- Ohne ihre Mitwirkung wird eine Institution ihre Sicherheitsziele verfehlen.
Erstellung
- Erstellung eines Sicherheitskonzepts
Um die Sicherheitsziele zu erreichen, müssen in einem Konzept geeignete technische und organisatorische Maßnahmen festgelegt werden
- Maßnahmen zur physischen Absicherung von Gebäuden und Räumlichkeiten
- technische Vorkehrungen zur Absicherung der Schnittstellen eines Netzes und seiner Segmente
- Regelungen zum Umgang mit klassifizierten Informationen
- ein geeignetes Identitäts- und Berechtigungsmanagement
- die Anwendung kryptographischer Maßnahmen
- ausreichende Datensicherungsverfahren
- Verfahren zur Erkennung und Abwehr von Schadsoftware
- ...
Umsetzung
- Umsetzung des Konzepts
Im Sicherheitskonzept muss dargestellt werden, wie die Maßnahmen umzusetzen und zu überprüfen sind.
- Dies ist eine Vorgabe für die Bewertung durch die Leitungsebene.
Verbesserung
- Aufrechterhaltung und Verbesserung
Informationssicherheit ist kein zeitlich begrenztes Projekt, sondern ein Prozess, der kontinuierlich das Sicherheitskonzept an veränderte Anforderungen anpasst.
- Mit geeigneten Instrumenten, etwa Kennzahlen oder internen und externen Audits, muss regelmäßig geprüft werden, ob die Informationssicherheitsziele erreicht werden.
- Abweichungen müssen zur Behebung und Verbesserung führen.