ISMS.1 Sicherheitsmanagement: Unterschied zwischen den Versionen

Aus Foxwiki
Die Seite wurde neu angelegt: „== Einleitung == Mit (Informations-)Sicherheitsmanagement wird die Planungs-, Lenkungs- und Kontrollaufgabe bezeichnet, die erforderlich ist, um einen durchdachten und wirksamen Prozess zur Herstellung von Informationssicherheit aufzubauen und kontinuierlich umzusetzen. Ein funktionierendes Sicherheitsmanagement muss in die existierenden Managementstrukturen jeder Institution eingebettet werden. Daher ist es praktisch nicht möglich, eine für jede Instit…“
 
K Textersetzung - „Kategorie:Grundschutz“ durch „Kategorie:IT-Grundschutz“
 
(79 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
== Einleitung ==
'''ISMS.1 Sicherheitsmanagement''' - Baustein des [[:Kategorie:IT-Grundschutz/Kompendium|IT-Grundschutz/Kompendiums]]
Mit (Informations-)Sicherheitsmanagement wird die Planungs-, Lenkungs- und Kontrollaufgabe bezeichnet, die erforderlich ist, um einen durchdachten und wirksamen Prozess zur Herstellung von Informationssicherheit aufzubauen und kontinuierlich umzusetzen. Ein funktionierendes Sicherheitsmanagement muss in die existierenden Managementstrukturen jeder Institution eingebettet werden. Daher ist es praktisch nicht möglich, eine für jede Institution unmittelbar anwendbare Organisationsstruktur für das Sicherheitsmanagement anzugeben. Vielmehr werden häufig Anpassungen an spezifische Gegebenheiten erforderlich sein.


== Beschreibung ==
; Informationssicherheitsmanagement
* Herstellung von Informationssicherheit
* aufbauen und kontinuierlich umsetzen


== Zielsetzung ==
; Durchdachter und wirksamen Prozess
Ziel dieses Bausteins ist es aufzuzeigen, wie ein funktionierendes Managementsystem für Informationssicherheit (ISMS) eingerichtet und im laufenden Betrieb weiterentwickelt werden kann. Der Baustein beschreibt dazu Schritte eines systematischen Sicherheitsprozesses und gibt Anleitungen zur Erstellung eines Sicherheitskonzeptes.
* Planung
* Lenkung
* Kontrolle


== Abgrenzung und Modellierung ==
; Ein funktionierendes Sicherheitsmanagement muss in die existierenden Managementstrukturen jeder Institution eingebettet werden.
Der Baustein ISMS.1 Sicherheitsmanagement ist auf den Informationsverbund einmal anzuwenden.
* Daher ist es praktisch nicht möglich, eine für jede Institution unmittelbar anwendbare Organisationsstruktur für das Sicherheitsmanagement anzugeben.
* Vielmehr werden häufig Anpassungen an spezifische Gegebenheiten erforderlich sein.


Der Baustein baut auf den BSI-Standards 200-1 „Managementsysteme für Informationssicherheit“ und 200-2 „IT-Grundschutz-Methodik“ auf. Er fasst daraus die wichtigsten Aspekte zum Sicherheitsmanagement zusammen.
; Zielsetzung
Aufzeigen, wie ein funktionierendes Managementsystem für Informationssicherheit (ISMS)
* eingerichtet und  
* im laufenden Betrieb weiterentwickelt werden kann.


In der Institution sollten regelmäßig Sicherheitsrevisionen durchgeführt werden. Ausführliche Anforderungen dazu sind nicht in diesem Baustein, sondern im Baustein DER 3.1 Audits und Revisionen zu finden. Außerdem sollten alle Mitarbeitenden der Institution sowie alle relevanten Externen systematisch und zielgruppengerecht zu Sicherheitsrisiken sensibilisiert und zu Fragen der Informationssicherheit geschult werden. Ausführliche Anforderungen dazu sind im Baustein ORP.3 Sensibilisierung und Schulung zur Informationssicherheit zu finden.
Der Baustein beschreibt dazu Schritte eines systematischen Sicherheitsprozesses und gibt Anleitungen zur Erstellung eines Sicherheitskonzeptes.


Dieser Baustein behandelt ebenso keine spezifischen Aspekte zu Personal oder zum Bereich Organisation. Diese Anforderungen werden in den Bausteinen ORP.2 Personal bzw. ORP.1 Organisation behandelt.
=== Abgrenzung und Modellierung ===
; Der Baustein ISMS.1 Sicherheitsmanagement ist auf den Informationsverbund einmal anzuwenden.


Der Baustein baut auf den BSI-Standards 200-1 „Managementsysteme für Informationssicherheit“ und 200-2 „IT-Grundschutz-Methodik“ auf.
* Er fasst daraus die wichtigsten Aspekte zum Sicherheitsmanagement zusammen.


= Gefährdungslage =
; In der Institution sollten regelmäßig Sicherheitsrevisionen durchgeführt werden.
Da IT-Grundschutz-Bausteine nicht auf individuelle Informationsverbünde eingehen können, werden zur Darstellung der Gefährdungslage typische Szenarien zugrunde gelegt. Die folgenden spezifischen Bedrohungen und Schwachstellen sind für den Baustein ISMS.1 Sicherheitsmanagement von besonderer Bedeutung.
* Ausführliche Anforderungen dazu sind nicht in diesem Baustein, sondern im Baustein DER 3.1 Audits und Revisionen zu finden.
* Außerdem sollten alle Mitarbeitenden der Institution sowie alle relevanten Externen systematisch und zielgruppengerecht zu Sicherheitsrisiken sensibilisiert und zu Fragen der Informationssicherheit geschult werden.
* Ausführliche Anforderungen dazu sind im Baustein ORP.3 Sensibilisierung und Schulung zur Informationssicherheit zu finden.


== Fehlende persönliche Verantwortung im Sicherheitsprozess ==
; Dieser Baustein behandelt ebenso keine spezifischen Aspekte zu Personal oder zum Bereich Organisation.
Sind in einer Institution die Rollen und Zuständigkeiten im Sicherheitsprozess nicht eindeutig festgelegt, dann ist es wahrscheinlich, dass viele Mitarbeitende ihre Verantwortung für die Informationssicherheit mit dem Verweis auf übergeordnete Hierarchie-Ebenen ablehnen oder vergessen. Als Folge werden Sicherheitsmaßnahmen nicht umgesetzt, da diese zunächst fast immer einen Mehraufwand im gewohnten Arbeitsablauf darstellen.
* Diese Anforderungen werden in den Bausteinen ORP.2 Personal bzw.  ORP.1 Organisation behandelt.


== Mangelnde Unterstützung durch die Institutionsleitung ==
=== Gefährdungslage ===
Werden die Sicherheitsverantwortlichen nicht uneingeschränkt durch die Institutionsleitung unterstützt, kann es schwierig werden, die notwendigen Maßnahmen einzufordern. Dies gilt insbesondere für Personen, die in der Linienstruktur über den Sicherheitsverantwortlichen stehen. In diesem Fall ist der Sicherheitsprozess nicht vollständig durchführbar.
; Typische Szenarien
{| class="wikitable sortable options"
|-
! Gefährdung !! Beschreibung
|-
| [[#Fehlende persönliche Verantwortung|Fehlende persönliche Verantwortung]] || Rollen und Zuständigkeiten nicht eindeutig festgelegt
|-
| [[#Mangelnde Unterstützung durch die Institutionsleitung|Mangelnde Unterstützung durch die Institutionsleitung]] || Sicherheitsprozess nicht vollständig durchführbar
|-
| [[#Unzureichende strategische und konzeptionelle Vorgaben|Unzureichende strategische und konzeptionelle Vorgaben]] || Ohne strategische Vorgaben wird häufig unstrukturiert vorgegangen.
|}
 
==== Fehlende persönliche Verantwortung ====
; Fehlende persönliche Verantwortung im Sicherheitsprozess
Sind in einer Institution die Rollen und Zuständigkeiten im Sicherheitsprozess nicht eindeutig festgelegt, dann ist es wahrscheinlich, dass viele Mitarbeitende ihre Verantwortung für die Informationssicherheit mit dem Verweis auf übergeordnete Hierarchie-Ebenen ablehnen oder vergessen.
* Als Folge werden Sicherheitsmaßnahmen nicht umgesetzt, da diese zunächst fast immer einen Mehraufwand im gewohnten Arbeitsablauf darstellen.
 
==== Mangelnde Unterstützung durch die Institutionsleitung ====
Werden die Sicherheitsverantwortlichen nicht uneingeschränkt durch die Institutionsleitung unterstützt, kann es schwierig werden, die notwendigen Maßnahmen einzufordern.
* Dies gilt insbesondere für Personen, die in der Linienstruktur über den Sicherheitsverantwortlichen stehen.
* In diesem Fall ist der Sicherheitsprozess nicht vollständig durchführbar.


== Unzureichende strategische und konzeptionelle Vorgaben ==
==== Unzureichende strategische und konzeptionelle Vorgaben ====
In vielen Institutionen wird zwar ein Sicherheitskonzept erstellt, dessen Inhalt ist dann aber häufig nur wenigen Personen in der Institution bekannt. Dies führt dazu, dass Vorgaben an Stellen, an denen organisatorischer Aufwand zu betreiben wäre, bewusst oder unbewusst nicht eingehalten werden.
In vielen Institutionen wird zwar ein Sicherheitskonzept erstellt, dessen Inhalt ist dann aber häufig nur wenigen Personen in der Institution bekannt.
* Dies führt dazu, dass Vorgaben an Stellen, an denen organisatorischer Aufwand zu betreiben wäre, bewusst oder unbewusst nicht eingehalten werden.


Auch wenn das Sicherheitskonzept strategische Zielsetzungen enthält, werden diese von der Institutionsleitung vielfach als bloße Sammlung von Absichtserklärungen betrachtet. Häufig werden dann keine ausreichenden Ressourcen zur Umsetzung zur Verfügung gestellt. Oft wird fälschlicherweise auch davon ausgegangen, dass in einer automatisierten Umgebung Sicherheit automatisch hergestellt wird.
Auch wenn das Sicherheitskonzept strategische Zielsetzungen enthält, werden diese von der Institutionsleitung vielfach als bloße Sammlung von Absichtserklärungen betrachtet.
* Häufig werden dann keine ausreichenden Ressourcen zur Umsetzung zur Verfügung gestellt.
* Oft wird fälschlicherweise auch davon ausgegangen, dass in einer automatisierten Umgebung Sicherheit automatisch hergestellt wird.


Ohne strategische Vorgaben wird bei Schadensfällen häufig unstrukturiert vorgegangen. Dadurch können bestenfalls Teilaspekte verbessert werden.
Ohne strategische Vorgaben wird bei Schadensfällen häufig unstrukturiert vorgegangen.
* Dadurch können bestenfalls Teilaspekte verbessert werden.


== Unzureichende oder fehlgeleitete Investitionen ==
==== Unzureichende oder fehlgeleitete Investitionen ====
Wenn die Institutionsleitung nicht ausreichend über den Sicherheitszustand sämtlicher Geschäftsprozesse, IT-Systeme und Anwendungen sowie über vorhandene Mängel unterrichtet ist, werden nicht genügend Ressourcen für den Sicherheitsprozess bereitgestellt oder diese nicht sachgerecht eingesetzt. In letzterem Fall kann dies dazu führen, dass einem übertrieben hohen Sicherheitsniveau in einem Teilbereich schwerwiegende Mängel in einem anderen gegenüberstehen.
Wenn die Institutionsleitung nicht ausreichend über den Sicherheitszustand sämtlicher Geschäftsprozesse, IT-Systeme und Anwendungen sowie über vorhandene Mängel unterrichtet ist, werden nicht genügend Ressourcen für den Sicherheitsprozess bereitgestellt oder diese nicht sachgerecht eingesetzt.
* In letzterem Fall kann dies dazu führen, dass einem übertrieben hohen Sicherheitsniveau in einem Teilbereich schwerwiegende Mängel in einem anderen gegenüberstehen.


Häufig ist auch zu beobachten, dass teure technische Sicherheitslösungen falsch eingesetzt werden und somit unwirksam sind oder sogar selbst zur Gefahrenquelle werden.
Häufig ist auch zu beobachten, dass teure technische Sicherheitslösungen falsch eingesetzt werden und somit unwirksam sind oder sogar selbst zur Gefahrenquelle werden.


== Unzureichende Durchsetzbarkeit von Sicherheitsmaßnahmen ==
==== Unzureichende Durchsetzbarkeit von Sicherheitsmaßnahmen ====
Um ein durchgehendes und angemessenes Sicherheitsniveau zu erreichen, müssen unterschiedliche Zuständigkeitsbereiche innerhalb einer Institution miteinander kooperieren. Fehlende strategische Leitaussagen und unklare Zielsetzungen führen mitunter aber zu unterschiedlichen Interpretationen der Bedeutung von Informationssicherheit. Dies kann zur Folge haben, dass die notwendige Kooperation nicht zustande kommt, etwa weil die Aufgabe „Informationssicherheit“ als unnötig angesehen wird oder zumindest keine Priorität hat. Somit könnten Sicherheitsmaßnahmen nicht umgesetzt werden.
Um ein durchgehendes und angemessenes Sicherheitsniveau zu erreichen, müssen unterschiedliche Zuständigkeitsbereiche innerhalb einer Institution miteinander kooperieren.
* Fehlende strategische Leitaussagen und unklare Zielsetzungen führen mitunter aber zu unterschiedlichen Interpretationen der Bedeutung von Informationssicherheit.
* Dies kann zur Folge haben, dass die notwendige Kooperation nicht zustande kommt, etwa weil die Aufgabe „Informationssicherheit“ als unnötig angesehen wird oder zumindest keine Priorität hat.
* Somit könnten Sicherheitsmaßnahmen nicht umgesetzt werden.


== Fehlende Aktualisierung im Sicherheitsprozess ==
==== Fehlende Aktualisierung im Sicherheitsprozess ====
Neue Geschäftsprozesse, Anwendungen und IT-Systeme sowie neue Bedrohungen beeinflussen permanent den Status der Informationssicherheit innerhalb einer Institution. Fehlt ein effektives Revisionskonzept, das auch das Bewusstsein für neue Bedrohungen stärkt, verringert sich das Sicherheitsniveau. Aus der realen Sicherheit wird dann schleichend eine gefährliche Scheinsicherheit.
Neue Geschäftsprozesse, Anwendungen und IT-Systeme sowie neue Bedrohungen beeinflussen permanent den Status der Informationssicherheit innerhalb einer Institution.
* Fehlt ein effektives Revisionskonzept, das auch das Bewusstsein für neue Bedrohungen stärkt, verringert sich das Sicherheitsniveau.
* Aus der realen Sicherheit wird dann schleichend eine gefährliche Scheinsicherheit.


== Verstoß gegen gesetzliche Regelungen und vertragliche Vereinbarungen ==
==== Verstoß gegen gesetzliche Regelungen und vertragliche Vereinbarungen ====
Wenn Informationen, Geschäftsprozesse und IT-Systeme einer Institution unzureichend abgesichert sind, beispielsweise durch ein unzureichendes Sicherheitsmanagement, kann gegen Rechtsvorschriften mit Bezug zur Informationsverarbeitung oder gegen bestehende Verträge mit Geschäftspartnern und -partnerinnen verstoßen werden. Welche Gesetze jeweils zu beachten sind, hängt von der Art der Institution beziehungsweise ihrer Geschäftsprozesse und Dienstleistungen ab.
Wenn Informationen, Geschäftsprozesse und IT-Systeme einer Institution unzureichend abgesichert sind, beispielsweise durch ein unzureichendes Sicherheitsmanagement, kann gegen Rechtsvorschriften mit Bezug zur Informationsverarbeitung oder gegen bestehende Verträge mit Geschäftspartnern und -partnerinnen verstoßen werden.
* Welche Gesetze jeweils zu beachten sind, hängt von der Art der Institution beziehungsweise ihrer Geschäftsprozesse und Dienstleistungen ab.


Je nachdem, wo sich die Standorte einer Institution befinden, können auch verschiedene nationale und internationale Vorschriften zu beachten sein. Verfügt eine Institution über unzureichende Kenntnisse hinsichtlich internationaler Gesetzesvorgaben, z. B. zu Datenschutz, Informationspflicht, Insolvenzrecht, Haftung oder Informationszugriff für Dritte, erhöht dies das Risiko entsprechender Verstöße. Dann drohen rechtliche Konsequenzen.
Je nachdem, wo sich die Standorte einer Institution befinden, können auch verschiedene nationale und internationale Vorschriften zu beachten sein.
* Verfügt eine Institution über unzureichende Kenntnisse hinsichtlich internationaler Gesetzesvorgaben, z. B. zu Datenschutz, Informationspflicht, Insolvenzrecht, Haftung oder Informationszugriff für Dritte, erhöht dies das Risiko entsprechender Verstöße.
* Dann drohen rechtliche Konsequenzen.


In vielen Branchen ist es üblich, dass Anwendende ihre Zuliefer- und Dienstleistungsunternehmen dazu verpflichten, bestimmte Qualitäts- und Sicherheitsstandards einzuhalten. Verstößt ein Vertragspartner oder -partnerin gegen vertraglich geregelte Sicherheitsanforderungen, kann dies Vertragsstrafen, Vertragsauflösungen oder sogar den Verlust von Geschäftsbeziehungen nach sich ziehen.
In vielen Branchen ist es üblich, dass Anwendende ihre Zuliefer- und Dienstleistungsunternehmen dazu verpflichten, bestimmte Qualitäts- und Sicherheitsstandards einzuhalten.
* Verstößt ein Vertragspartner oder -partnerin gegen vertraglich geregelte Sicherheitsanforderungen, kann dies Vertragsstrafen, Vertragsauflösungen oder sogar den Verlust von Geschäftsbeziehungen nach sich ziehen.


== Störung der Geschäftsabläufe aufgrund von Sicherheitsvorfällen ==
==== Störung der Geschäftsabläufe aufgrund von Sicherheitsvorfällen ====
Sicherheitsvorfälle können durch ein einzelnes Ereignis oder eine Verkettung unglücklicher Umstände ausgelöst werden. Sie können dazu führen, dass die Vertraulichkeit, Integrität oder Verfügbarkeit von Informationen und IT-Systemen beeinträchtigt werden. Dies wirkt sich dann schnell negativ auf wesentliche Fachaufgaben und Geschäftsprozesse der betroffenen Institution aus. Auch wenn nicht alle Sicherheitsvorfälle in der Öffentlichkeit bekannt werden, können sie trotzdem zu negativen Auswirkungen in den Beziehungen zu Geschäftspartnern und -partnerinnen sowie Kunden und Kundinnen führen. Auch könnten gesetzliche Vorgaben missachtet werden. Dabei ist es nicht so, dass die schwersten und weitreichendsten Sicherheitsvorfälle durch die größten Sicherheitsschwachstellen ausgelöst wurden. In vielen Fällen führt die Verkettung kleiner Ursachen zu großen Schäden.
Sicherheitsvorfälle können durch ein einzelnes Ereignis oder eine Verkettung unglücklicher Umstände ausgelöst werden.
* Sie können dazu führen, dass die Vertraulichkeit, Integrität oder Verfügbarkeit von Informationen und IT-Systemen beeinträchtigt werden.
* Dies wirkt sich dann schnell negativ auf wesentliche Fachaufgaben und Geschäftsprozesse der betroffenen Institution aus.
* Auch wenn nicht alle Sicherheitsvorfälle in der Öffentlichkeit bekannt werden, können sie trotzdem zu negativen Auswirkungen in den Beziehungen zu Geschäftspartnern und -partnerinnen sowie Kunden und Kundinnen führen.
* Auch könnten gesetzliche Vorgaben missachtet werden.
* Dabei ist es nicht so, dass die schwersten und weitreichendsten Sicherheitsvorfälle durch die größten Sicherheitsschwachstellen ausgelöst wurden.
* In vielen Fällen führt die Verkettung kleiner Ursachen zu großen Schäden.


== Unwirtschaftlicher Umgang mit Ressourcen durch unzureichendes Sicherheitsmanagement ==
==== Unwirtschaftlicher Umgang mit Ressourcen durch unzureichendes Sicherheitsmanagement ====
Ein unzureichendes Sicherheitsmanagement kann dazu führen, dass falsche Prioritäten gesetzt werden und nicht an denjenigen Stellen investiert wird, die den größten Mehrwert für die Institution bringen. Dies kann zu folgenden Fehlern führen:* Es wird in teure Sicherheitslösungen investiert, ohne dass eine Basis an notwendigen organisatorischen Regelungen vorhanden ist. Nicht geklärte Zuständigkeiten und Verantwortlichkeiten können trotz teurer Investitionen zu schweren Sicherheitsvorfällen führen.
Ein unzureichendes Sicherheitsmanagement kann dazu führen, dass falsche Prioritäten gesetzt werden und nicht an denjenigen Stellen investiert wird, die den größten Mehrwert für die Institution bringen.
* Es wird in den Bereichen einer Institution in Informationssicherheit investiert, die für Informationssicherheit besonders sensibilisiert sind. Andere Bereiche, die vielleicht für die Erfüllung der Fachaufgaben und die Erreichung der Geschäftsziele wichtiger sind, werden aufgrund von knappen Mitteln oder Desinteresse der Verantwortlichen vernachlässigt. Es wird dann unausgewogen in Teilbereiche investiert, während für das Gesamtsystem besonders bedeutsame Sicherheitsrisiken unbeachtet bleiben.
* Dies kann zu folgenden Fehlern führen:
* Es wird in teure Sicherheitslösungen investiert, ohne dass eine Basis an notwendigen organisatorischen Regelungen vorhanden ist.
* Nicht geklärte Zuständigkeiten und Verantwortlichkeiten können trotz teurer Investitionen zu schweren Sicherheitsvorfällen führen.
* Es wird in den Bereichen einer Institution in Informationssicherheit investiert, die für Informationssicherheit besonders sensibilisiert sind.
* Andere Bereiche, die vielleicht für die Erfüllung der Fachaufgaben und die Erreichung der Geschäftsziele wichtiger sind, werden aufgrund von knappen Mitteln oder Desinteresse der Verantwortlichen vernachlässigt.
* Es wird dann unausgewogen in Teilbereiche investiert, während für das Gesamtsystem besonders bedeutsame Sicherheitsrisiken unbeachtet bleiben.
* Durch die einseitige Erhöhung des Schutzes einzelner Grundwerte kann sich der Gesamtschutz sogar verringern, beispielsweise indem eine Verschlüsselung von Informationen die Vertraulichkeit zwar erhöht, aber die Verfügbarkeit verringern kann.
* Durch die einseitige Erhöhung des Schutzes einzelner Grundwerte kann sich der Gesamtschutz sogar verringern, beispielsweise indem eine Verschlüsselung von Informationen die Vertraulichkeit zwar erhöht, aber die Verfügbarkeit verringern kann.
* Ein inhomogener und unkoordinierter Einsatz von Sicherheitsprodukten kann zu hohem finanziellen und personellen Ressourceneinsatz führen.
* Ein inhomogener und unkoordinierter Einsatz von Sicherheitsprodukten kann zu hohem finanziellen und personellen Ressourceneinsatz führen.


== Anforderungen ==
{| class="wikitable sortable options" class="wikitable options"
|-
! Schutzbedarf !! Beschreibung
|-
|| [[#Basis | Basis]] || ''[[MÜSSEN]]'' vorrangig erfüllt werden
|-
|| [[#Standard | Standard]] || ''[[SOLLTEN]]'' grundsätzlich erfüllt werden
|-
|| [[#Erhöht | Erhöht]] || Exemplarische Vorschläge
|}


= Anforderungen =
Im Folgenden sind die spezifischen Anforderungen des Bausteins ISMS.1 Sicherheitsmanagement aufgeführt.
Im Folgenden sind die spezifischen Anforderungen des Bausteins ISMS.1 Sicherheitsmanagement aufgeführt. Der oder die Informationssicherheitsbeauftragte (ISB) ist dafür zuständig, dass alle Anforderungen gemäß dem festgelegten Sicherheitskonzept erfüllt und überprüft werden. Bei strategischen Entscheidungen ist der oder die ISB stets einzubeziehen.
* Der oder die Informationssicherheitsbeauftragte (ISB) ist dafür zuständig, dass alle Anforderungen gemäß dem festgelegten Sicherheitskonzept erfüllt und überprüft werden.
* Bei strategischen Entscheidungen ist der oder die ISB stets einzubeziehen.


Im IT-Grundschutz-Kompendium sind darüber hinaus weitere Rollen definiert. Sie sollten besetzt werden, insofern dies sinnvoll und angemessen ist.
Im IT-Grundschutz/Kompendium sind darüber hinaus weitere Rollen definiert.
* Sie sollten besetzt werden, insofern dies sinnvoll und angemessen ist.




{| style="border-spacing:0;width:17cm;"
{| class="wikitable sortable options"
|- style="background-color:#f0f0f0;border:0.5pt solid #000000;padding-top:0cm;padding-bottom:0cm;padding-left:0.191cm;padding-right:0.191cm;"
|-
!| Zuständigkeiten
!| Zuständigkeiten
!| Rollen
!| Rollen
|- style="background-color:transparent;border:0.5pt solid #000000;padding-top:0cm;padding-bottom:0cm;padding-left:0.191cm;padding-right:0.191cm;"
|-
|| Grundsätzlich zuständig
|| Grundsätzlich zuständig
|| Informationssicherheitsbeauftragte (ISB)
|| Informationssicherheitsbeauftragte (ISB)
|- style="background-color:transparent;border:0.5pt solid #000000;padding-top:0cm;padding-bottom:0cm;padding-left:0.191cm;padding-right:0.191cm;"
|-
|| Weitere Zuständigkeiten
|| Weitere Zuständigkeiten
|| Vorgesetzte, Institutionsleitung
|| Vorgesetzte, Institutionsleitung
|-
|-
|}
|}
Genau eine Rolle sollte Grundsätzlich zuständig sein. Darüber hinaus kann es noch Weitere Zuständigkeiten geben. Falls eine dieser weiteren Rollen für die Erfüllung einer Anforderung vorrangig zuständig ist, dann wird diese Rolle hinter der Überschrift der Anforderung in eckigen Klammern aufgeführt. Die Verwendung des Singulars oder Plurals sagt nichts darüber aus, wie viele Personen diese Rollen ausfüllen sollen.


== Basis-Anforderungen ==
Genau eine Rolle sollte Grundsätzlich zuständig sein.
Die folgenden Anforderungen MÜSSEN für diesen Baustein vorrangig erfüllt werden.
* Darüber hinaus kann es noch Weitere Zuständigkeiten geben.
* Falls eine dieser weiteren Rollen für die Erfüllung einer Anforderung vorrangig zuständig ist, dann wird diese Rolle hinter der Überschrift der Anforderung in eckigen Klammern aufgeführt.
* Die Verwendung des Singulars oder Plurals sagt nichts darüber aus, wie viele Personen diese Rollen ausfüllen sollen.
 
=== Basis-Anforderungen ===
Basis-Anforderungen MÜSSEN vorrangig erfüllt werden.
 
{| class="wikitable options"
|-
! Anforderung !! Beschreibung !! Rolle
|-
| A1 || [[#A1 Übernahme der Gesamtverantwortung für Informationssicherheit durch die Leitung|Übernahme der Gesamtverantwortung für Informationssicherheit durch die Leitung]] || [[Institutionsleitung]]
|-
| A2 || [[#A2 Festlegung der Sicherheitsziele und -strategie|Festlegung der Sicherheitsziele und -strategie]] || [[Institutionsleitung]]
|-
| A3 || [[#A3 Erstellung einer Leitlinie zur Informationssicherheit| Erstellung einer Leitlinie zur Informationssicherheit]] || [[Institutionsleitung]]
|-
| A4 || [[#A4 Benennung eines oder einer Informationssicherheitsbeauftragten|Benennung eines oder einer Informationssicherheitsbeauftragten]] || [[Institutionsleitung]]
|-
| A5 || [[#A5 Vertragsgestaltung bei Bestellung eines oder einer externen Informationssicherheitsbeauftragten|Vertragsgestaltung bei Bestellung eines oder einer externen Informationssicherheitsbeauftragten]] || [[Institutionsleitung]]
|-
| A6 || [[#A6 Aufbau einer geeigneten Organisationsstruktur für Informationssicherheit| Aufbau einer geeigneten Organisationsstruktur für Informationssicherheit]] || [[Institutionsleitung]]
|-
| A7 || [[#A7 Festlegung von Sicherheitsmaßnahmen|Festlegung von Sicherheitsmaßnahmen]] || [[Vorgesetzte]]
|-
| A8 || [[#A8 Integration der Mitarbeitenden in den Sicherheitsprozess| Integration der Mitarbeitenden in den Sicherheitsprozess]] ||
|-
| A9 || [[#A9 Integration der Informationssicherheit in organisationsweite Abläufe und Prozesse| Integration der Informationssicherheit in organisationsweite Abläufe und Prozesse]] || [[Institutionsleitung]]
|}


=== ISMS.1.A1 Übernahme der Gesamtverantwortung für Informationssicherheit durch die Leitung (B) [Institutionsleitung] ===
==== A1 Übernahme der Gesamtverantwortung für Informationssicherheit durch die Leitung ====
Die Institutionsleitung MUSS die Gesamtverantwortung für Informationssicherheit in der Institution übernehmen. Dies MUSS für alle Beteiligten deutlich erkennbar sein. Die Institutionsleitung MUSS den Sicherheitsprozess initiieren, steuern und kontrollieren. Die Institutionsleitung MUSS Informationssicherheit vorleben.
Die Institutionsleitung MUSS die Gesamtverantwortung für Informationssicherheit in der Institution übernehmen.
* Dies MUSS für alle Beteiligten deutlich erkennbar sein.
* Die Institutionsleitung MUSS den Sicherheitsprozess initiieren, steuern und kontrollieren.
* Die Institutionsleitung MUSS Informationssicherheit vorleben.


Die Institutionsleitung MUSS die Zuständigkeiten für Informationssicherheit festlegen. Die zuständigen Mitarbeitenden MÜSSEN mit den erforderlichen Kompetenzen und Ressourcen ausgestattet werden.
Die Institutionsleitung MUSS die Zuständigkeiten für Informationssicherheit festlegen.
* Die zuständigen Mitarbeitenden MÜSSEN mit den erforderlichen Kompetenzen und Ressourcen ausgestattet werden.


Die Institutionsleitung MUSS sich regelmäßig über den Status der Informationssicherheit informieren lassen. Insbesondere MUSS sich die Institutionsleitung über mögliche Risiken und Konsequenzen aufgrund fehlender Sicherheitsmaßnahmen informieren lassen.
Die Institutionsleitung MUSS sich regelmäßig über den Status der Informationssicherheit informieren lassen.
* Insbesondere MUSS sich die Institutionsleitung über mögliche Risiken und Konsequenzen aufgrund fehlender Sicherheitsmaßnahmen informieren lassen.


=== ISMS.1.A2 Festlegung der Sicherheitsziele und -strategie (B) [Institutionsleitung] ===
==== A2 Festlegung der Sicherheitsziele und -strategie ====
Die Institutionsleitung MUSS den Sicherheitsprozess initiieren und etablieren. Dafür MUSS die Institutionsleitung angemessene Sicherheitsziele sowie eine Strategie für Informationssicherheit festlegen und dokumentieren. Es MÜSSEN konzeptionelle Vorgaben erarbeitet und organisatorische Rahmenbedingungen geschaffen werden, um den ordnungsgemäßen und sicheren Umgang mit Informationen innerhalb aller Geschäftsprozesse des Unternehmens oder Fachaufgaben der Behörde zu ermöglichen.
Die Institutionsleitung MUSS den Sicherheitsprozess initiieren und etablieren.
* Dafür MUSS die Institutionsleitung angemessene Sicherheitsziele sowie eine Strategie für Informationssicherheit festlegen und dokumentieren.
* Es MÜSSEN konzeptionelle Vorgaben erarbeitet und organisatorische Rahmenbedingungen geschaffen werden, um den ordnungsgemäßen und sicheren Umgang mit Informationen innerhalb aller Geschäftsprozesse des Unternehmens oder Fachaufgaben der Behörde zu ermöglichen.


Die Institutionsleitung MUSS die Sicherheitsstrategie und die Sicherheitsziele tragen und verantworten. Die Institutionsleitung MUSS die Sicherheitsziele und die Sicherheitsstrategie regelmäßig dahingehend überprüfen, ob sie noch aktuell und angemessen sind und wirksam umgesetzt werden können.
Die Institutionsleitung MUSS die Sicherheitsstrategie und die Sicherheitsziele tragen und verantworten.
* Die Institutionsleitung MUSS die Sicherheitsziele und die Sicherheitsstrategie regelmäßig dahingehend überprüfen, ob sie noch aktuell und angemessen sind und wirksam umgesetzt werden können.


=== ISMS.1.A3 Erstellung einer Leitlinie zur Informationssicherheit (B) [Institutionsleitung] ===
==== A3 Erstellung einer Leitlinie zur Informationssicherheit ====
Die Institutionsleitung MUSS eine übergeordnete Leitlinie zur Informationssicherheit verabschieden. Diese MUSS den Stellenwert der Informationssicherheit, die Sicherheitsziele, die wichtigsten Aspekte der Sicherheitsstrategie sowie die Organisationsstruktur für Informationssicherheit beschreiben. Für die Sicherheitsleitlinie MUSS ein klarer Geltungsbereich festgelegt sein. In der Leitlinie zur Informationssicherheit MÜSSEN die Sicherheitsziele und der Bezug der Sicherheitsziele zu den Geschäftszielen und Aufgaben der Institution erläutert werden.
Die Institutionsleitung MUSS eine übergeordnete Leitlinie zur Informationssicherheit verabschieden.
* Diese MUSS den Stellenwert der Informationssicherheit, die Sicherheitsziele, die wichtigsten Aspekte der Sicherheitsstrategie sowie die Organisationsstruktur für Informationssicherheit beschreiben.
* Für die Sicherheitsleitlinie MUSS ein klarer Geltungsbereich festgelegt sein.
* In der Leitlinie zur Informationssicherheit MÜSSEN die Sicherheitsziele und der Bezug der Sicherheitsziele zu den Geschäftszielen und Aufgaben der Institution erläutert werden.


Die Institutionsleitung MUSS die Leitlinie zur Informationssicherheit allen Mitarbeitenden und sonstigen Mitgliedern der Institution bekannt geben. Die Leitlinie zur Informationssicherheit SOLLTE regelmäßig aktualisiert werden.
Die Institutionsleitung MUSS die Leitlinie zur Informationssicherheit allen Mitarbeitenden und sonstigen Mitgliedern der Institution bekannt geben.
* Die Leitlinie zur Informationssicherheit SOLLTE regelmäßig aktualisiert werden.


=== ISMS.1.A4 Benennung eines oder einer Informationssicherheitsbeauftragten (B) [Institutionsleitung] ===
==== A4 Benennung eines oder einer Informationssicherheitsbeauftragten (B) [Institutionsleitung] ====
Die Institutionsleitung MUSS einen oder eine ISB benennen. Der oder die ISB MUSS die Informationssicherheit in der Institution fördern und den Sicherheitsprozess mitsteuern und koordinieren.
Die Institutionsleitung MUSS einen oder eine ISB benennen.
* Der oder die ISB MUSS die Informationssicherheit in der Institution fördern und den Sicherheitsprozess mitsteuern und koordinieren.


Die Institutionsleitung MUSS den oder die ISB mit angemessenen Ressourcen ausstatten. Die Institutionsleitung MUSS dem oder der ISB die Möglichkeit einräumen, bei Bedarf direkt an sie selbst zu berichten.
Die Institutionsleitung MUSS den oder die ISB mit angemessenen Ressourcen ausstatten.
* Die Institutionsleitung MUSS dem oder der ISB die Möglichkeit einräumen, bei Bedarf direkt an sie selbst zu berichten.


Der oder die ISB MUSS bei allen größeren Projekten sowie bei der Einführung neuer Anwendungen und IT-Systeme frühzeitig beteiligt werden.
Der oder die ISB MUSS bei allen größeren Projekten sowie bei der Einführung neuer Anwendungen und IT-Systeme frühzeitig beteiligt werden.


=== ISMS.1.A5 Vertragsgestaltung bei Bestellung eines oder einer externen Informationssicherheitsbeauftragten (B) [Institutionsleitung] ===
==== A5 Vertragsgestaltung bei Bestellung eines oder einer externen Informationssicherheitsbeauftragten ====
Die Institutionsleitung MUSS einen externen oder eine externe ISB bestellen, wenn die Rolle des oder der ISB nicht durch einen internen Mitarbeitenden besetzt werden kann. Der Vertrag mit einem oder einer externen ISB MUSS alle Aufgaben des oder der ISB sowie die damit verbundenen Rechte und Pflichten umfassen. Der Vertrag MUSS eine geeignete Vertraulichkeitsvereinbarung umfassen. Der Vertrag MUSS eine kontrollierte Beendigung des Vertragsverhältnisses, einschließlich der Übergabe der Aufgaben an die Auftraggebenden, gewährleisten.
Die Institutionsleitung MUSS einen externen oder eine externe ISB bestellen, wenn die Rolle des oder der ISB nicht durch einen internen Mitarbeitenden besetzt werden kann.
* Der Vertrag mit einem oder einer externen ISB MUSS alle Aufgaben des oder der ISB sowie die damit verbundenen Rechte und Pflichten umfassen.
* Der Vertrag MUSS eine geeignete Vertraulichkeitsvereinbarung umfassen.
* Der Vertrag MUSS eine kontrollierte Beendigung des Vertragsverhältnisses, einschließlich der Übergabe der Aufgaben an die Auftraggebenden, gewährleisten.


=== ISMS.1.A6 Aufbau einer geeigneten Organisationsstruktur für Informationssicherheit (B) [Institutionsleitung] ===
==== A6 Aufbau einer geeigneten Organisationsstruktur für Informationssicherheit ====
Eine geeignete übergreifende Organisationsstruktur für Informationssicherheit MUSS vorhanden sein. Dafür MÜSSEN Rollen definiert sein, die konkrete Aufgaben übernehmen, um die Sicherheitsziele zu erreichen. Außerdem MÜSSEN qualifizierte Personen benannt werden, denen ausreichend Ressourcen zur Verfügung stehen, um diese Rollen zu übernehmen. Die Aufgaben, Rollen, Verantwortungen und Kompetenzen im Sicherheitsmanagement MÜSSEN nachvollziehbar definiert und zugewiesen sein. Für alle wichtigen Funktionen der Organisation für Informationssicherheit MUSS es wirksame Vertretungsregelungen geben.
Eine geeignete übergreifende Organisationsstruktur für Informationssicherheit MUSS vorhanden sein.
* Dafür MÜSSEN Rollen definiert sein, die konkrete Aufgaben übernehmen, um die Sicherheitsziele zu erreichen.
* Außerdem MÜSSEN qualifizierte Personen benannt werden, denen ausreichend Ressourcen zur Verfügung stehen, um diese Rollen zu übernehmen.
* Die Aufgaben, Rollen, Verantwortungen und Kompetenzen im Sicherheitsmanagement MÜSSEN nachvollziehbar definiert und zugewiesen sein.
* Für alle wichtigen Funktionen der Organisation für Informationssicherheit MUSS es wirksame Vertretungsregelungen geben.


Kommunikationswege MÜSSEN geplant, beschrieben, eingerichtet und bekannt gemacht werden. Es MUSS für alle Aufgaben und Rollen festgelegt sein, wer wen informiert und wer bei welchen Aktionen in welchem Umfang informiert werden muss.
Kommunikationswege MÜSSEN geplant, beschrieben, eingerichtet und bekannt gemacht werden.
* Es MUSS für alle Aufgaben und Rollen festgelegt sein, wer wen informiert und wer bei welchen Aktionen in welchem Umfang informiert werden muss.


Es MUSS regelmäßig geprüft werden, ob die Organisationsstruktur für Informationssicherheit noch angemessen ist oder ob sie an neue Rahmenbedingungen angepasst werden muss.
Es MUSS regelmäßig geprüft werden, ob die Organisationsstruktur für Informationssicherheit noch angemessen ist oder ob sie an neue Rahmenbedingungen angepasst werden muss.


=== ISMS.1.A7 Festlegung von Sicherheitsmaßnahmen (B) ===
==== A7 Festlegung von Sicherheitsmaßnahmen ====
Im Rahmen des Sicherheitsprozesses MÜSSEN für die gesamte Informationsverarbeitung ausführliche und angemessene Sicherheitsmaßnahmen festgelegt werden. Alle Sicherheitsmaßnahmen SOLLTEN systematisch in Sicherheitskonzepten dokumentiert werden. Die Sicherheitsmaßnahmen SOLLTEN regelmäßig aktualisiert werden.
Im Rahmen des Sicherheitsprozesses MÜSSEN für die gesamte Informationsverarbeitung ausführliche und angemessene Sicherheitsmaßnahmen festgelegt werden.
* Alle Sicherheitsmaßnahmen SOLLTEN systematisch in Sicherheitskonzepten dokumentiert werden.
* Die Sicherheitsmaßnahmen SOLLTEN regelmäßig aktualisiert werden.


=== ISMS.1.A8 Integration der Mitarbeitenden in den Sicherheitsprozess (B) [Vorgesetzte] ===
==== A8 Integration der Mitarbeitenden in den Sicherheitsprozess ====
Alle Mitarbeitenden MÜSSEN in den Sicherheitsprozess integriert sein. Hierfür MÜSSEN sie über Hintergründe und die für sie relevanten Gefährdungen informiert sein. Sie MÜSSEN Sicherheitsmaßnahmen kennen und umsetzen, die ihren Arbeitsplatz betreffen.
Alle Mitarbeitenden MÜSSEN in den Sicherheitsprozess integriert sein.
* Hierfür MÜSSEN sie über Hintergründe und die für sie relevanten Gefährdungen informiert sein.
* Sie MÜSSEN Sicherheitsmaßnahmen kennen und umsetzen, die ihren Arbeitsplatz betreffen.


Alle Mitarbeitenden MÜSSEN in die Lage versetzt werden, Sicherheit aktiv mitzugestalten. Daher SOLLTEN die Mitarbeitenden frühzeitig beteiligt werden, wenn Sicherheitsmaßnahmen zu planen oder organisatorische Regelungen zu gestalten sind.
Alle Mitarbeitenden MÜSSEN in die Lage versetzt werden, Sicherheit aktiv mitzugestalten.
* Daher SOLLTEN die Mitarbeitenden frühzeitig beteiligt werden, wenn Sicherheitsmaßnahmen zu planen oder organisatorische Regelungen zu gestalten sind.


Bei der Einführung von Sicherheitsrichtlinien und Sicherheitswerkzeugen MÜSSEN die Mitarbeitenden ausreichend informiert sein, wie diese anzuwenden sind.
Bei der Einführung von Sicherheitsrichtlinien und Sicherheitswerkzeugen MÜSSEN die Mitarbeitenden ausreichend informiert sein, wie diese anzuwenden sind.
Zeile 129: Zeile 255:
Die Mitarbeitenden MÜSSEN darüber aufgeklärt werden, welche Konsequenzen eine Verletzung der Sicherheitsvorgaben haben kann.
Die Mitarbeitenden MÜSSEN darüber aufgeklärt werden, welche Konsequenzen eine Verletzung der Sicherheitsvorgaben haben kann.


=== ISMS.1.A9 Integration der Informationssicherheit in organisationsweite Abläufe und Prozesse (B) [Institutionsleitung] ===
==== A9 Integration der Informationssicherheit in organisationsweite Abläufe und Prozesse (B) [Institutionsleitung] ====
Informationssicherheit MUSS in alle Geschäftsprozesse sowie Fachaufgaben integriert werden. Es MUSS dabei gewährleistet sein, dass nicht nur bei neuen Prozessen und Projekten, sondern auch bei laufenden Aktivitäten alle erforderlichen Sicherheitsaspekte berücksichtigt werden. Der oder die Informationssicherheitsbeauftragte (ISB) MUSS an sicherheitsrelevanten Entscheidungen ausreichend beteiligt werden.
Informationssicherheit MUSS in alle Geschäftsprozesse sowie Fachaufgaben integriert werden.
* Es MUSS dabei gewährleistet sein, dass nicht nur bei neuen Prozessen und Projekten, sondern auch bei laufenden Aktivitäten alle erforderlichen Sicherheitsaspekte berücksichtigt werden.
* Der oder die Informationssicherheitsbeauftragte (ISB) MUSS an sicherheitsrelevanten Entscheidungen ausreichend beteiligt werden.


Informationssicherheit SOLLTE außerdem mit anderen Bereichen in der Institution, die sich mit Sicherheit und Risikomanagement beschäftigen, abgestimmt werden.
Informationssicherheit SOLLTE außerdem mit anderen Bereichen in der Institution, die sich mit Sicherheit und Risikomanagement beschäftigen, abgestimmt werden.


== Standard-Anforderungen ==
=== Standard ===
Gemeinsam mit den Basis-Anforderungen entsprechen die folgenden Anforderungen dem Stand der Technik für diesen Baustein. Sie SOLLTEN grundsätzlich erfüllt werden.
; Standard-Anforderungen  
* [[SOLLTEN]] grundsätzlich erfüllt werden
Stand der Technik für Netzarchitektur und -design
* Gemeinsam mit den Basis-Anforderungen  
 
; Anforderungen
{| class="wikitable options"
|-
! Anforderung !! Beschreibung !! Rolle
|-
| A10 || [[#A10 Erstellung eines Sicherheitskonzepts|Erstellung eines Sicherheitskonzepts]] ||
|-
| A11 || [[#A11 Aufrechterhaltung der Informationssicherheit|Aufrechterhaltung der Informationssicherheit]] ||
|-
| A12 || [[#A12 Management-Berichte zur Informationssicherheit|Management-Berichte zur Informationssicherheit]] || [[Institutionsleitung]]
|-
| A13 || [[#A13 Dokumentation des Sicherheitsprozesses|Dokumentation des Sicherheitsprozesses]] ||
|-
| A14 || ENTFALLEN ||
|-
| A15 || [[#A15 Wirtschaftlicher Einsatz von Ressourcen für Informationssicherheit|Wirtschaftlicher Einsatz von Ressourcen für Informationssicherheit]] ||
|}


=== ISMS.1.A10 Erstellung eines Sicherheitskonzepts (S) ===
==== A10 Erstellung eines Sicherheitskonzepts ====
Für den festgelegten Geltungsbereich (Informationsverbund) SOLLTE ein angemessenes Sicherheitskonzept als das zentrale Dokument im Sicherheitsprozess erstellt werden. Es SOLLTE entschieden werden, ob das Sicherheitskonzept aus einem oder aus mehreren Teilkonzepten bestehen soll, die sukzessive erstellt werden, um zunächst in ausgewählten Bereichen das erforderliche Sicherheitsniveau herzustellen.
Für den festgelegten Geltungsbereich (Informationsverbund) SOLLTE ein angemessenes Sicherheitskonzept als das zentrale Dokument im Sicherheitsprozess erstellt werden.
* Es SOLLTE entschieden werden, ob das Sicherheitskonzept aus einem oder aus mehreren Teilkonzepten bestehen soll, die sukzessive erstellt werden, um zunächst in ausgewählten Bereichen das erforderliche Sicherheitsniveau herzustellen.


Im Sicherheitskonzept MÜSSEN aus den Sicherheitszielen der Institution, dem identifizierten Schutzbedarf und der Risikobewertung konkrete Sicherheitsmaßnahmen passend zum betrachteten Informationsverbund abgeleitet werden. Sicherheitsprozess und Sicherheitskonzept MÜSSEN die individuell geltenden Vorschriften und Regelungen berücksichtigen.
Im Sicherheitskonzept MÜSSEN aus den Sicherheitszielen der Institution, dem identifizierten Schutzbedarf und der Risikobewertung konkrete Sicherheitsmaßnahmen passend zum betrachteten Informationsverbund abgeleitet werden.
* Sicherheitsprozess und Sicherheitskonzept MÜSSEN die individuell geltenden Vorschriften und Regelungen berücksichtigen.


Die im Sicherheitskonzept vorgesehenen Maßnahmen MÜSSEN zeitnah in die Praxis umgesetzt werden. Dies MUSS geplant und die Umsetzung MUSS kontrolliert werden.
Die im Sicherheitskonzept vorgesehenen Maßnahmen MÜSSEN zeitnah in die Praxis umgesetzt werden.
* Dies MUSS geplant und die Umsetzung MUSS kontrolliert werden.


=== ISMS.1.A11 Aufrechterhaltung der Informationssicherheit (S) ===
==== A11 Aufrechterhaltung der Informationssicherheit ====
Der Sicherheitsprozess, die Sicherheitskonzepte, die Leitlinie zur Informationssicherheit und die Organisationsstruktur für Informationssicherheit SOLLTEN regelmäßig auf Wirksamkeit und Angemessenheit überprüft und aktualisiert werden. Dazu SOLLTEN regelmäßig Vollständigkeits- bzw. Aktualisierungsprüfungen des Sicherheitskonzeptes durchgeführt werden.
Der Sicherheitsprozess, die Sicherheitskonzepte, die Leitlinie zur Informationssicherheit und die Organisationsstruktur für Informationssicherheit SOLLTEN regelmäßig auf Wirksamkeit und Angemessenheit überprüft und aktualisiert werden.
* Dazu SOLLTEN regelmäßig Vollständigkeits- bzw. Aktualisierungsprüfungen des Sicherheitskonzeptes durchgeführt werden.


Ebenso SOLLTEN regelmäßig Sicherheitsrevisionen durchgeführt werden. Dazu SOLLTE geregelt sein, welche Bereiche und Sicherheitsmaßnahmen wann und von wem zu überprüfen sind. Überprüfungen des Sicherheitsniveaus SOLLTEN regelmäßig (mindestens jährlich) sowie anlassbezogen durchgeführt werden.
Ebenso SOLLTEN regelmäßig Sicherheitsrevisionen durchgeführt werden.
* Dazu SOLLTE geregelt sein, welche Bereiche und Sicherheitsmaßnahmen wann und von wem zu überprüfen sind. Überprüfungen des Sicherheitsniveaus SOLLTEN regelmäßig (mindestens jährlich) sowie anlassbezogen durchgeführt werden.


Die Prüfungen SOLLTEN von qualifizierten und unabhängigen Personen durchgeführt werden. Die Ergebnisse der Überprüfungen SOLLTEN nachvollziehbar dokumentiert sein. Darauf aufbauend SOLLTEN Mängel beseitigt und Korrekturmaßnahmen ergriffen werden.
Die Prüfungen SOLLTEN von qualifizierten und unabhängigen Personen durchgeführt werden.
* Die Ergebnisse der Überprüfungen SOLLTEN nachvollziehbar dokumentiert sein.
* Darauf aufbauend SOLLTEN Mängel beseitigt und Korrekturmaßnahmen ergriffen werden.


=== ISMS.1.A12 Management-Berichte zur Informationssicherheit (S) [Institutionsleitung] ===
==== A12 Management-Berichte zur Informationssicherheit ====
Die Institutionsleitung SOLLTE sich regelmäßig über den Stand der Informationssicherheit informieren, insbesondere über die aktuelle Gefährdungslage sowie die Wirksamkeit und Effizienz des Sicherheitsprozesses. Dazu SOLLTEN Management-Berichte geschrieben werden, welche die wesentlichen relevanten Informationen über den Sicherheitsprozess enthalten, insbesondere über Probleme, Erfolge und Verbesserungsmöglichkeiten. Die Management-Berichte SOLLTEN klar priorisierte Maßnahmenvorschläge enthalten. Die Maßnahmenvorschläge SOLLTEN mit realistischen Abschätzungen zum erwarteten Umsetzungsaufwand versehen sein. Die Management-Berichte SOLLTEN revisionssicher archiviert werden.
Die Institutionsleitung SOLLTE sich regelmäßig über den Stand der Informationssicherheit informieren, insbesondere über die aktuelle Gefährdungslage sowie die Wirksamkeit und Effizienz des Sicherheitsprozesses.
* Dazu SOLLTEN Management-Berichte geschrieben werden, welche die wesentlichen relevanten Informationen über den Sicherheitsprozess enthalten, insbesondere über Probleme, Erfolge und Verbesserungsmöglichkeiten.
* Die Management-Berichte SOLLTEN klar priorisierte Maßnahmenvorschläge enthalten.
* Die Maßnahmenvorschläge SOLLTEN mit realistischen Abschätzungen zum erwarteten Umsetzungsaufwand versehen sein.
* Die Management-Berichte SOLLTEN revisionssicher archiviert werden.


Die Management-Entscheidungen über erforderliche Aktionen, den Umgang mit Restrisiken und mit Veränderungen von sicherheitsrelevanten Prozessen SOLLTEN dokumentiert sein. Die Management-Entscheidungen SOLLTEN revisionssicher archiviert werden.
Die Management-Entscheidungen über erforderliche Aktionen, den Umgang mit Restrisiken und mit Veränderungen von sicherheitsrelevanten Prozessen SOLLTEN dokumentiert sein.
* Die Management-Entscheidungen SOLLTEN revisionssicher archiviert werden.


=== ISMS.1.A13 Dokumentation des Sicherheitsprozesses (S) ===
==== A13 Dokumentation des Sicherheitsprozesses ====
Der Ablauf des Sicherheitsprozesses SOLLTE dokumentiert werden. Wichtige Entscheidungen und die Arbeitsergebnisse der einzelnen Phasen wie Sicherheitskonzept, Richtlinien oder Untersuchungsergebnisse von Sicherheitsvorfällen SOLLTEN ausreichend dokumentiert werden.
Der Ablauf des Sicherheitsprozesses SOLLTE dokumentiert werden.
* Wichtige Entscheidungen und die Arbeitsergebnisse der einzelnen Phasen wie Sicherheitskonzept, Richtlinien oder Untersuchungsergebnisse von Sicherheitsvorfällen SOLLTEN ausreichend dokumentiert werden.


Es SOLLTE eine geregelte Vorgehensweise für die Erstellung und Archivierung von Dokumentationen im Rahmen des Sicherheitsprozesses geben. Regelungen SOLLTEN existieren, um die Aktualität und Vertraulichkeit der Dokumentationen zu wahren. Von den vorhandenen Dokumenten SOLLTE die jeweils aktuelle Version kurzfristig zugänglich sein. Außerdem SOLLTEN alle Vorgängerversionen zentral archiviert werden.
Es SOLLTE eine geregelte Vorgehensweise für die Erstellung und Archivierung von Dokumentationen im Rahmen des Sicherheitsprozesses geben.
* Regelungen SOLLTEN existieren, um die Aktualität und Vertraulichkeit der Dokumentationen zu wahren.
* Von den vorhandenen Dokumenten SOLLTE die jeweils aktuelle Version kurzfristig zugänglich sein.
* Außerdem SOLLTEN alle Vorgängerversionen zentral archiviert werden.


=== ISMS.1.A14 ENTFALLEN (S) ===
==== A15 Wirtschaftlicher Einsatz von Ressourcen für Informationssicherheit ====
Diese Anforderung ist entfallen.
Die Sicherheitsstrategie SOLLTE wirtschaftliche Aspekte berücksichtigen.
* Werden Sicherheitsmaßnahmen festgelegt, SOLLTEN die dafür erforderlichen Ressourcen beziffert werden.
* Die für Informationssicherheit eingeplanten Ressourcen SOLLTEN termingerecht bereitgestellt werden.
* Bei Arbeitsspitzen oder besonderen Aufgaben SOLLTEN zusätzliche interne Mitarbeitenden eingesetzt oder externe Expertise hinzugezogen werden.


=== ISMS.1.A15 Wirtschaftlicher Einsatz von Ressourcen für Informationssicherheit (S) ===
=== Erhöht ===
Die Sicherheitsstrategie SOLLTE wirtschaftliche Aspekte berücksichtigen. Werden Sicherheitsmaßnahmen festgelegt, SOLLTEN die dafür erforderlichen Ressourcen beziffert werden. Die für Informationssicherheit eingeplanten Ressourcen SOLLTEN termingerecht bereitgestellt werden. Bei Arbeitsspitzen oder besonderen Aufgaben SOLLTEN zusätzliche interne Mitarbeitenden eingesetzt oder externe Expertise hinzugezogen werden.
; Exemplarische Vorschläge für erhöhten Schutzbedarf
* Über das den ''Stand der Technik'' entsprechende Schutzniveau hinausgehend


== Anforderungen bei erhöhtem Schutzbedarf ==
; SOLLTEN bei ERHÖHTEM SCHUTZBEDARF in Betracht gezogen werden  
Im Folgenden sind für diesen Baustein exemplarische Vorschläge für Anforderungen aufgeführt, die über dasjenige Schutzniveau hinausgehen, das dem Stand der Technik entspricht. Die Vorschläge SOLLTEN bei erhöhtem Schutzbedarf in Betracht gezogen werden. Die konkrete Festlegung erfolgt im Rahmen einer individuellen Risikoanalyse.
* Festlegung im Rahmen einer Risikoanalyse


=== ISMS.1.A16 Erstellung von zielgruppengerechten Sicherheitsrichtlinien (H) ===
{| class="wikitable options"
Neben den allgemeinen SOLLTE es auch zielgruppenorientierte Sicherheitsrichtlinien geben, die jeweils bedarfsgerecht die relevanten Sicherheitsthemen abbilden.
|-
! Anforderung !! Beschreibung !! Rolle
|-
| A16 || [[#A16 Erstellung von zielgruppengerechten Sicherheitsrichtlinien | A16 Erstellung von zielgruppengerechten Sicherheitsrichtlinien]] ||
|-
| A17 || [[#A17 Abschließen von Versicherungen | Abschließen von Versicherungen]] ||
|}


=== ISMS.1.A17 Abschließen von Versicherungen (H) ===
==== A16 Erstellung von zielgruppengerechten Sicherheitsrichtlinien ====
Es SOLLTE geprüft werden, ob für Restrisiken Versicherungen abgeschlossen werden können. Es SOLLTE regelmäßig überprüft werden, ob die bestehenden Versicherungen der aktuellen Lage entsprechen.= Weiterführende Informationen =
Neben allgemeinen SOLLTE es auch zielgruppenorientierte Sicherheitsrichtlinien geben, die jeweils bedarfsgerecht die relevanten Sicherheitsthemen abbilden.


== Wissenswertes ==
==== A17 Abschließen von Versicherungen ====
Der BSI-Standard 200-1 definiert allgemeine Anforderungen an ein Managementsystem für Informationssicherheit (ISMS). Er ist außerdem kompatibel zum ISO-Standard 27001 und berücksichtigt die Empfehlungen vieler anderer ISO-Standards.
Es SOLLTE regelmäßig überprüft werden, ob die bestehenden Versicherungen der aktuellen Lage entsprechen.


Der BSI-Standard 200-2 bildet die Basis der bewährten BSI-Methodik zum Aufbau eines soliden Informationssicherheitsmanagements (ISMS). Er etabliert drei neue Vorgehensweisen bei der Umsetzung des IT-Grundschutzes. Aufgrund der ähnlichen Struktur der beiden Standards 200-1 und 200-2 können Anwendende sich gut in beiden Dokumenten zurechtfinden.
== Standards ==
{| class="wikitable sortable options"
|-
! Option !! Beschreibung
|-
| [[BSI-Standard 200-1]] || Anforderungen an ein Managementsystem für Informationssicherheit (ISMS)
* Er ist kompatibel zu ISO-Standard 27001
* Berücksichtigt die Empfehlungen vieler anderer ISO-Standards
|-
| [[BSI-Standard 200-2]] || Basis der BSI-Methodik zum Aufbau eines Informationssicherheitsmanagements (ISMS)
* Etabliert drei Vorgehensweisen bei der Umsetzung des IT-Grundschutzes
|-
| [[ISO/IEC 27000]] || Information security management systems - Overview and vocabulary
* Überblick über Managementsysteme für Informationssicherheit (ISMS)
* Zusammenhänge der verschiedenen Normen der ISO/IEC 2700x-Familie
* Grundlegenden Begriffe und Definitionen für ISMS
|-
| [[ISO/IEC 27001]] ||Information security management systems - Requirements
* Internationale Norm zum Management von Informationssicherheit, die eine Zertifizierung ermöglicht.
|-
| [[ISO/IEC 27002]] || Code of practice for information security controls
* Auswahl und Umsetzung von den in der ISO/IEC 27001 beschriebenen Maßnahmen
* Funktionierendes Sicherheitsmanagement aufbauen und in der Institution verankern
|}


Die ISO/IEC 27000 (Information security management systems - Overview and vocabulary) gibt einen Überblick über Managementsysteme für Informationssicherheit (ISMS) und über die Zusammenhänge der verschiedenen Normen der ISO/IEC 2700x-Familie. Hier finden sich außerdem die grundlegenden Begriffe und Definitionen für ISMS.
== Anhang ==
=== Siehe auch ===
{{Special:PrefixIndex/Sicherheitsmanagement}}


Die ISO/IEC 27001 (Information security management systems - Requirements) ist eine internationale Norm zum Management von Informationssicherheit, die auch eine Zertifizierung ermöglicht.
==== Links ====
===== Weblinks =====
<noinclude>


Die ISO/IEC 27002 (Code of practice for information security controls) unterstützt bei der Auswahl und Umsetzung von den in der ISO/IEC 27001 beschriebenen Maßnahmen, um ein funktionierendes Sicherheitsmanagement aufzubauen und in der Institution zu verankern.
[[Kategorie:ISMS]]
</noinclude>

Aktuelle Version vom 22. Oktober 2024, 13:42 Uhr

ISMS.1 Sicherheitsmanagement - Baustein des IT-Grundschutz/Kompendiums

Beschreibung

Informationssicherheitsmanagement
  • Herstellung von Informationssicherheit
  • aufbauen und kontinuierlich umsetzen
Durchdachter und wirksamen Prozess
  • Planung
  • Lenkung
  • Kontrolle
Ein funktionierendes Sicherheitsmanagement muss in die existierenden Managementstrukturen jeder Institution eingebettet werden.
  • Daher ist es praktisch nicht möglich, eine für jede Institution unmittelbar anwendbare Organisationsstruktur für das Sicherheitsmanagement anzugeben.
  • Vielmehr werden häufig Anpassungen an spezifische Gegebenheiten erforderlich sein.
Zielsetzung

Aufzeigen, wie ein funktionierendes Managementsystem für Informationssicherheit (ISMS)

  • eingerichtet und
  • im laufenden Betrieb weiterentwickelt werden kann.

Der Baustein beschreibt dazu Schritte eines systematischen Sicherheitsprozesses und gibt Anleitungen zur Erstellung eines Sicherheitskonzeptes.

Abgrenzung und Modellierung

Der Baustein ISMS.1 Sicherheitsmanagement ist auf den Informationsverbund einmal anzuwenden.

Der Baustein baut auf den BSI-Standards 200-1 „Managementsysteme für Informationssicherheit“ und 200-2 „IT-Grundschutz-Methodik“ auf.

  • Er fasst daraus die wichtigsten Aspekte zum Sicherheitsmanagement zusammen.
In der Institution sollten regelmäßig Sicherheitsrevisionen durchgeführt werden.
  • Ausführliche Anforderungen dazu sind nicht in diesem Baustein, sondern im Baustein DER 3.1 Audits und Revisionen zu finden.
  • Außerdem sollten alle Mitarbeitenden der Institution sowie alle relevanten Externen systematisch und zielgruppengerecht zu Sicherheitsrisiken sensibilisiert und zu Fragen der Informationssicherheit geschult werden.
  • Ausführliche Anforderungen dazu sind im Baustein ORP.3 Sensibilisierung und Schulung zur Informationssicherheit zu finden.
Dieser Baustein behandelt ebenso keine spezifischen Aspekte zu Personal oder zum Bereich Organisation.
  • Diese Anforderungen werden in den Bausteinen ORP.2 Personal bzw.  ORP.1 Organisation behandelt.

Gefährdungslage

Typische Szenarien
Gefährdung Beschreibung
Fehlende persönliche Verantwortung Rollen und Zuständigkeiten nicht eindeutig festgelegt
Mangelnde Unterstützung durch die Institutionsleitung Sicherheitsprozess nicht vollständig durchführbar
Unzureichende strategische und konzeptionelle Vorgaben Ohne strategische Vorgaben wird häufig unstrukturiert vorgegangen.

Fehlende persönliche Verantwortung

Fehlende persönliche Verantwortung im Sicherheitsprozess

Sind in einer Institution die Rollen und Zuständigkeiten im Sicherheitsprozess nicht eindeutig festgelegt, dann ist es wahrscheinlich, dass viele Mitarbeitende ihre Verantwortung für die Informationssicherheit mit dem Verweis auf übergeordnete Hierarchie-Ebenen ablehnen oder vergessen.

  • Als Folge werden Sicherheitsmaßnahmen nicht umgesetzt, da diese zunächst fast immer einen Mehraufwand im gewohnten Arbeitsablauf darstellen.

Mangelnde Unterstützung durch die Institutionsleitung

Werden die Sicherheitsverantwortlichen nicht uneingeschränkt durch die Institutionsleitung unterstützt, kann es schwierig werden, die notwendigen Maßnahmen einzufordern.

  • Dies gilt insbesondere für Personen, die in der Linienstruktur über den Sicherheitsverantwortlichen stehen.
  • In diesem Fall ist der Sicherheitsprozess nicht vollständig durchführbar.

Unzureichende strategische und konzeptionelle Vorgaben

In vielen Institutionen wird zwar ein Sicherheitskonzept erstellt, dessen Inhalt ist dann aber häufig nur wenigen Personen in der Institution bekannt.

  • Dies führt dazu, dass Vorgaben an Stellen, an denen organisatorischer Aufwand zu betreiben wäre, bewusst oder unbewusst nicht eingehalten werden.

Auch wenn das Sicherheitskonzept strategische Zielsetzungen enthält, werden diese von der Institutionsleitung vielfach als bloße Sammlung von Absichtserklärungen betrachtet.

  • Häufig werden dann keine ausreichenden Ressourcen zur Umsetzung zur Verfügung gestellt.
  • Oft wird fälschlicherweise auch davon ausgegangen, dass in einer automatisierten Umgebung Sicherheit automatisch hergestellt wird.

Ohne strategische Vorgaben wird bei Schadensfällen häufig unstrukturiert vorgegangen.

  • Dadurch können bestenfalls Teilaspekte verbessert werden.

Unzureichende oder fehlgeleitete Investitionen

Wenn die Institutionsleitung nicht ausreichend über den Sicherheitszustand sämtlicher Geschäftsprozesse, IT-Systeme und Anwendungen sowie über vorhandene Mängel unterrichtet ist, werden nicht genügend Ressourcen für den Sicherheitsprozess bereitgestellt oder diese nicht sachgerecht eingesetzt.

  • In letzterem Fall kann dies dazu führen, dass einem übertrieben hohen Sicherheitsniveau in einem Teilbereich schwerwiegende Mängel in einem anderen gegenüberstehen.

Häufig ist auch zu beobachten, dass teure technische Sicherheitslösungen falsch eingesetzt werden und somit unwirksam sind oder sogar selbst zur Gefahrenquelle werden.

Unzureichende Durchsetzbarkeit von Sicherheitsmaßnahmen

Um ein durchgehendes und angemessenes Sicherheitsniveau zu erreichen, müssen unterschiedliche Zuständigkeitsbereiche innerhalb einer Institution miteinander kooperieren.

  • Fehlende strategische Leitaussagen und unklare Zielsetzungen führen mitunter aber zu unterschiedlichen Interpretationen der Bedeutung von Informationssicherheit.
  • Dies kann zur Folge haben, dass die notwendige Kooperation nicht zustande kommt, etwa weil die Aufgabe „Informationssicherheit“ als unnötig angesehen wird oder zumindest keine Priorität hat.
  • Somit könnten Sicherheitsmaßnahmen nicht umgesetzt werden.

Fehlende Aktualisierung im Sicherheitsprozess

Neue Geschäftsprozesse, Anwendungen und IT-Systeme sowie neue Bedrohungen beeinflussen permanent den Status der Informationssicherheit innerhalb einer Institution.

  • Fehlt ein effektives Revisionskonzept, das auch das Bewusstsein für neue Bedrohungen stärkt, verringert sich das Sicherheitsniveau.
  • Aus der realen Sicherheit wird dann schleichend eine gefährliche Scheinsicherheit.

Verstoß gegen gesetzliche Regelungen und vertragliche Vereinbarungen

Wenn Informationen, Geschäftsprozesse und IT-Systeme einer Institution unzureichend abgesichert sind, beispielsweise durch ein unzureichendes Sicherheitsmanagement, kann gegen Rechtsvorschriften mit Bezug zur Informationsverarbeitung oder gegen bestehende Verträge mit Geschäftspartnern und -partnerinnen verstoßen werden.

  • Welche Gesetze jeweils zu beachten sind, hängt von der Art der Institution beziehungsweise ihrer Geschäftsprozesse und Dienstleistungen ab.

Je nachdem, wo sich die Standorte einer Institution befinden, können auch verschiedene nationale und internationale Vorschriften zu beachten sein.

  • Verfügt eine Institution über unzureichende Kenntnisse hinsichtlich internationaler Gesetzesvorgaben, z. B. zu Datenschutz, Informationspflicht, Insolvenzrecht, Haftung oder Informationszugriff für Dritte, erhöht dies das Risiko entsprechender Verstöße.
  • Dann drohen rechtliche Konsequenzen.

In vielen Branchen ist es üblich, dass Anwendende ihre Zuliefer- und Dienstleistungsunternehmen dazu verpflichten, bestimmte Qualitäts- und Sicherheitsstandards einzuhalten.

  • Verstößt ein Vertragspartner oder -partnerin gegen vertraglich geregelte Sicherheitsanforderungen, kann dies Vertragsstrafen, Vertragsauflösungen oder sogar den Verlust von Geschäftsbeziehungen nach sich ziehen.

Störung der Geschäftsabläufe aufgrund von Sicherheitsvorfällen

Sicherheitsvorfälle können durch ein einzelnes Ereignis oder eine Verkettung unglücklicher Umstände ausgelöst werden.

  • Sie können dazu führen, dass die Vertraulichkeit, Integrität oder Verfügbarkeit von Informationen und IT-Systemen beeinträchtigt werden.
  • Dies wirkt sich dann schnell negativ auf wesentliche Fachaufgaben und Geschäftsprozesse der betroffenen Institution aus.
  • Auch wenn nicht alle Sicherheitsvorfälle in der Öffentlichkeit bekannt werden, können sie trotzdem zu negativen Auswirkungen in den Beziehungen zu Geschäftspartnern und -partnerinnen sowie Kunden und Kundinnen führen.
  • Auch könnten gesetzliche Vorgaben missachtet werden.
  • Dabei ist es nicht so, dass die schwersten und weitreichendsten Sicherheitsvorfälle durch die größten Sicherheitsschwachstellen ausgelöst wurden.
  • In vielen Fällen führt die Verkettung kleiner Ursachen zu großen Schäden.

Unwirtschaftlicher Umgang mit Ressourcen durch unzureichendes Sicherheitsmanagement

Ein unzureichendes Sicherheitsmanagement kann dazu führen, dass falsche Prioritäten gesetzt werden und nicht an denjenigen Stellen investiert wird, die den größten Mehrwert für die Institution bringen.

  • Dies kann zu folgenden Fehlern führen:
  • Es wird in teure Sicherheitslösungen investiert, ohne dass eine Basis an notwendigen organisatorischen Regelungen vorhanden ist.
  • Nicht geklärte Zuständigkeiten und Verantwortlichkeiten können trotz teurer Investitionen zu schweren Sicherheitsvorfällen führen.
  • Es wird in den Bereichen einer Institution in Informationssicherheit investiert, die für Informationssicherheit besonders sensibilisiert sind.
  • Andere Bereiche, die vielleicht für die Erfüllung der Fachaufgaben und die Erreichung der Geschäftsziele wichtiger sind, werden aufgrund von knappen Mitteln oder Desinteresse der Verantwortlichen vernachlässigt.
  • Es wird dann unausgewogen in Teilbereiche investiert, während für das Gesamtsystem besonders bedeutsame Sicherheitsrisiken unbeachtet bleiben.
  • Durch die einseitige Erhöhung des Schutzes einzelner Grundwerte kann sich der Gesamtschutz sogar verringern, beispielsweise indem eine Verschlüsselung von Informationen die Vertraulichkeit zwar erhöht, aber die Verfügbarkeit verringern kann.
  • Ein inhomogener und unkoordinierter Einsatz von Sicherheitsprodukten kann zu hohem finanziellen und personellen Ressourceneinsatz führen.

Anforderungen

Schutzbedarf Beschreibung
Basis MÜSSEN vorrangig erfüllt werden
Standard SOLLTEN grundsätzlich erfüllt werden
Erhöht Exemplarische Vorschläge

Im Folgenden sind die spezifischen Anforderungen des Bausteins ISMS.1 Sicherheitsmanagement aufgeführt.

  • Der oder die Informationssicherheitsbeauftragte (ISB) ist dafür zuständig, dass alle Anforderungen gemäß dem festgelegten Sicherheitskonzept erfüllt und überprüft werden.
  • Bei strategischen Entscheidungen ist der oder die ISB stets einzubeziehen.

Im IT-Grundschutz/Kompendium sind darüber hinaus weitere Rollen definiert.

  • Sie sollten besetzt werden, insofern dies sinnvoll und angemessen ist.


Zuständigkeiten Rollen
Grundsätzlich zuständig Informationssicherheitsbeauftragte (ISB)
Weitere Zuständigkeiten Vorgesetzte, Institutionsleitung

Genau eine Rolle sollte Grundsätzlich zuständig sein.

  • Darüber hinaus kann es noch Weitere Zuständigkeiten geben.
  • Falls eine dieser weiteren Rollen für die Erfüllung einer Anforderung vorrangig zuständig ist, dann wird diese Rolle hinter der Überschrift der Anforderung in eckigen Klammern aufgeführt.
  • Die Verwendung des Singulars oder Plurals sagt nichts darüber aus, wie viele Personen diese Rollen ausfüllen sollen.

Basis-Anforderungen

Basis-Anforderungen MÜSSEN vorrangig erfüllt werden.

Anforderung Beschreibung Rolle
A1 Übernahme der Gesamtverantwortung für Informationssicherheit durch die Leitung Institutionsleitung
A2 Festlegung der Sicherheitsziele und -strategie Institutionsleitung
A3 Erstellung einer Leitlinie zur Informationssicherheit Institutionsleitung
A4 Benennung eines oder einer Informationssicherheitsbeauftragten Institutionsleitung
A5 Vertragsgestaltung bei Bestellung eines oder einer externen Informationssicherheitsbeauftragten Institutionsleitung
A6 Aufbau einer geeigneten Organisationsstruktur für Informationssicherheit Institutionsleitung
A7 Festlegung von Sicherheitsmaßnahmen Vorgesetzte
A8 Integration der Mitarbeitenden in den Sicherheitsprozess
A9 Integration der Informationssicherheit in organisationsweite Abläufe und Prozesse Institutionsleitung

A1 Übernahme der Gesamtverantwortung für Informationssicherheit durch die Leitung

Die Institutionsleitung MUSS die Gesamtverantwortung für Informationssicherheit in der Institution übernehmen.

  • Dies MUSS für alle Beteiligten deutlich erkennbar sein.
  • Die Institutionsleitung MUSS den Sicherheitsprozess initiieren, steuern und kontrollieren.
  • Die Institutionsleitung MUSS Informationssicherheit vorleben.

Die Institutionsleitung MUSS die Zuständigkeiten für Informationssicherheit festlegen.

  • Die zuständigen Mitarbeitenden MÜSSEN mit den erforderlichen Kompetenzen und Ressourcen ausgestattet werden.

Die Institutionsleitung MUSS sich regelmäßig über den Status der Informationssicherheit informieren lassen.

  • Insbesondere MUSS sich die Institutionsleitung über mögliche Risiken und Konsequenzen aufgrund fehlender Sicherheitsmaßnahmen informieren lassen.

A2 Festlegung der Sicherheitsziele und -strategie

Die Institutionsleitung MUSS den Sicherheitsprozess initiieren und etablieren.

  • Dafür MUSS die Institutionsleitung angemessene Sicherheitsziele sowie eine Strategie für Informationssicherheit festlegen und dokumentieren.
  • Es MÜSSEN konzeptionelle Vorgaben erarbeitet und organisatorische Rahmenbedingungen geschaffen werden, um den ordnungsgemäßen und sicheren Umgang mit Informationen innerhalb aller Geschäftsprozesse des Unternehmens oder Fachaufgaben der Behörde zu ermöglichen.

Die Institutionsleitung MUSS die Sicherheitsstrategie und die Sicherheitsziele tragen und verantworten.

  • Die Institutionsleitung MUSS die Sicherheitsziele und die Sicherheitsstrategie regelmäßig dahingehend überprüfen, ob sie noch aktuell und angemessen sind und wirksam umgesetzt werden können.

A3 Erstellung einer Leitlinie zur Informationssicherheit

Die Institutionsleitung MUSS eine übergeordnete Leitlinie zur Informationssicherheit verabschieden.

  • Diese MUSS den Stellenwert der Informationssicherheit, die Sicherheitsziele, die wichtigsten Aspekte der Sicherheitsstrategie sowie die Organisationsstruktur für Informationssicherheit beschreiben.
  • Für die Sicherheitsleitlinie MUSS ein klarer Geltungsbereich festgelegt sein.
  • In der Leitlinie zur Informationssicherheit MÜSSEN die Sicherheitsziele und der Bezug der Sicherheitsziele zu den Geschäftszielen und Aufgaben der Institution erläutert werden.

Die Institutionsleitung MUSS die Leitlinie zur Informationssicherheit allen Mitarbeitenden und sonstigen Mitgliedern der Institution bekannt geben.

  • Die Leitlinie zur Informationssicherheit SOLLTE regelmäßig aktualisiert werden.

A4 Benennung eines oder einer Informationssicherheitsbeauftragten (B) [Institutionsleitung]

Die Institutionsleitung MUSS einen oder eine ISB benennen.

  • Der oder die ISB MUSS die Informationssicherheit in der Institution fördern und den Sicherheitsprozess mitsteuern und koordinieren.

Die Institutionsleitung MUSS den oder die ISB mit angemessenen Ressourcen ausstatten.

  • Die Institutionsleitung MUSS dem oder der ISB die Möglichkeit einräumen, bei Bedarf direkt an sie selbst zu berichten.

Der oder die ISB MUSS bei allen größeren Projekten sowie bei der Einführung neuer Anwendungen und IT-Systeme frühzeitig beteiligt werden.

A5 Vertragsgestaltung bei Bestellung eines oder einer externen Informationssicherheitsbeauftragten

Die Institutionsleitung MUSS einen externen oder eine externe ISB bestellen, wenn die Rolle des oder der ISB nicht durch einen internen Mitarbeitenden besetzt werden kann.

  • Der Vertrag mit einem oder einer externen ISB MUSS alle Aufgaben des oder der ISB sowie die damit verbundenen Rechte und Pflichten umfassen.
  • Der Vertrag MUSS eine geeignete Vertraulichkeitsvereinbarung umfassen.
  • Der Vertrag MUSS eine kontrollierte Beendigung des Vertragsverhältnisses, einschließlich der Übergabe der Aufgaben an die Auftraggebenden, gewährleisten.

A6 Aufbau einer geeigneten Organisationsstruktur für Informationssicherheit

Eine geeignete übergreifende Organisationsstruktur für Informationssicherheit MUSS vorhanden sein.

  • Dafür MÜSSEN Rollen definiert sein, die konkrete Aufgaben übernehmen, um die Sicherheitsziele zu erreichen.
  • Außerdem MÜSSEN qualifizierte Personen benannt werden, denen ausreichend Ressourcen zur Verfügung stehen, um diese Rollen zu übernehmen.
  • Die Aufgaben, Rollen, Verantwortungen und Kompetenzen im Sicherheitsmanagement MÜSSEN nachvollziehbar definiert und zugewiesen sein.
  • Für alle wichtigen Funktionen der Organisation für Informationssicherheit MUSS es wirksame Vertretungsregelungen geben.

Kommunikationswege MÜSSEN geplant, beschrieben, eingerichtet und bekannt gemacht werden.

  • Es MUSS für alle Aufgaben und Rollen festgelegt sein, wer wen informiert und wer bei welchen Aktionen in welchem Umfang informiert werden muss.

Es MUSS regelmäßig geprüft werden, ob die Organisationsstruktur für Informationssicherheit noch angemessen ist oder ob sie an neue Rahmenbedingungen angepasst werden muss.

A7 Festlegung von Sicherheitsmaßnahmen

Im Rahmen des Sicherheitsprozesses MÜSSEN für die gesamte Informationsverarbeitung ausführliche und angemessene Sicherheitsmaßnahmen festgelegt werden.

  • Alle Sicherheitsmaßnahmen SOLLTEN systematisch in Sicherheitskonzepten dokumentiert werden.
  • Die Sicherheitsmaßnahmen SOLLTEN regelmäßig aktualisiert werden.

A8 Integration der Mitarbeitenden in den Sicherheitsprozess

Alle Mitarbeitenden MÜSSEN in den Sicherheitsprozess integriert sein.

  • Hierfür MÜSSEN sie über Hintergründe und die für sie relevanten Gefährdungen informiert sein.
  • Sie MÜSSEN Sicherheitsmaßnahmen kennen und umsetzen, die ihren Arbeitsplatz betreffen.

Alle Mitarbeitenden MÜSSEN in die Lage versetzt werden, Sicherheit aktiv mitzugestalten.

  • Daher SOLLTEN die Mitarbeitenden frühzeitig beteiligt werden, wenn Sicherheitsmaßnahmen zu planen oder organisatorische Regelungen zu gestalten sind.

Bei der Einführung von Sicherheitsrichtlinien und Sicherheitswerkzeugen MÜSSEN die Mitarbeitenden ausreichend informiert sein, wie diese anzuwenden sind.

Die Mitarbeitenden MÜSSEN darüber aufgeklärt werden, welche Konsequenzen eine Verletzung der Sicherheitsvorgaben haben kann.

A9 Integration der Informationssicherheit in organisationsweite Abläufe und Prozesse (B) [Institutionsleitung]

Informationssicherheit MUSS in alle Geschäftsprozesse sowie Fachaufgaben integriert werden.

  • Es MUSS dabei gewährleistet sein, dass nicht nur bei neuen Prozessen und Projekten, sondern auch bei laufenden Aktivitäten alle erforderlichen Sicherheitsaspekte berücksichtigt werden.
  • Der oder die Informationssicherheitsbeauftragte (ISB) MUSS an sicherheitsrelevanten Entscheidungen ausreichend beteiligt werden.

Informationssicherheit SOLLTE außerdem mit anderen Bereichen in der Institution, die sich mit Sicherheit und Risikomanagement beschäftigen, abgestimmt werden.

Standard

Standard-Anforderungen
  • SOLLTEN grundsätzlich erfüllt werden

Stand der Technik für Netzarchitektur und -design

  • Gemeinsam mit den Basis-Anforderungen
Anforderungen
Anforderung Beschreibung Rolle
A10 Erstellung eines Sicherheitskonzepts
A11 Aufrechterhaltung der Informationssicherheit
A12 Management-Berichte zur Informationssicherheit Institutionsleitung
A13 Dokumentation des Sicherheitsprozesses
A14 ENTFALLEN
A15 Wirtschaftlicher Einsatz von Ressourcen für Informationssicherheit

A10 Erstellung eines Sicherheitskonzepts

Für den festgelegten Geltungsbereich (Informationsverbund) SOLLTE ein angemessenes Sicherheitskonzept als das zentrale Dokument im Sicherheitsprozess erstellt werden.

  • Es SOLLTE entschieden werden, ob das Sicherheitskonzept aus einem oder aus mehreren Teilkonzepten bestehen soll, die sukzessive erstellt werden, um zunächst in ausgewählten Bereichen das erforderliche Sicherheitsniveau herzustellen.

Im Sicherheitskonzept MÜSSEN aus den Sicherheitszielen der Institution, dem identifizierten Schutzbedarf und der Risikobewertung konkrete Sicherheitsmaßnahmen passend zum betrachteten Informationsverbund abgeleitet werden.

  • Sicherheitsprozess und Sicherheitskonzept MÜSSEN die individuell geltenden Vorschriften und Regelungen berücksichtigen.

Die im Sicherheitskonzept vorgesehenen Maßnahmen MÜSSEN zeitnah in die Praxis umgesetzt werden.

  • Dies MUSS geplant und die Umsetzung MUSS kontrolliert werden.

A11 Aufrechterhaltung der Informationssicherheit

Der Sicherheitsprozess, die Sicherheitskonzepte, die Leitlinie zur Informationssicherheit und die Organisationsstruktur für Informationssicherheit SOLLTEN regelmäßig auf Wirksamkeit und Angemessenheit überprüft und aktualisiert werden.

  • Dazu SOLLTEN regelmäßig Vollständigkeits- bzw. Aktualisierungsprüfungen des Sicherheitskonzeptes durchgeführt werden.

Ebenso SOLLTEN regelmäßig Sicherheitsrevisionen durchgeführt werden.

  • Dazu SOLLTE geregelt sein, welche Bereiche und Sicherheitsmaßnahmen wann und von wem zu überprüfen sind. Überprüfungen des Sicherheitsniveaus SOLLTEN regelmäßig (mindestens jährlich) sowie anlassbezogen durchgeführt werden.

Die Prüfungen SOLLTEN von qualifizierten und unabhängigen Personen durchgeführt werden.

  • Die Ergebnisse der Überprüfungen SOLLTEN nachvollziehbar dokumentiert sein.
  • Darauf aufbauend SOLLTEN Mängel beseitigt und Korrekturmaßnahmen ergriffen werden.

A12 Management-Berichte zur Informationssicherheit

Die Institutionsleitung SOLLTE sich regelmäßig über den Stand der Informationssicherheit informieren, insbesondere über die aktuelle Gefährdungslage sowie die Wirksamkeit und Effizienz des Sicherheitsprozesses.

  • Dazu SOLLTEN Management-Berichte geschrieben werden, welche die wesentlichen relevanten Informationen über den Sicherheitsprozess enthalten, insbesondere über Probleme, Erfolge und Verbesserungsmöglichkeiten.
  • Die Management-Berichte SOLLTEN klar priorisierte Maßnahmenvorschläge enthalten.
  • Die Maßnahmenvorschläge SOLLTEN mit realistischen Abschätzungen zum erwarteten Umsetzungsaufwand versehen sein.
  • Die Management-Berichte SOLLTEN revisionssicher archiviert werden.

Die Management-Entscheidungen über erforderliche Aktionen, den Umgang mit Restrisiken und mit Veränderungen von sicherheitsrelevanten Prozessen SOLLTEN dokumentiert sein.

  • Die Management-Entscheidungen SOLLTEN revisionssicher archiviert werden.

A13 Dokumentation des Sicherheitsprozesses

Der Ablauf des Sicherheitsprozesses SOLLTE dokumentiert werden.

  • Wichtige Entscheidungen und die Arbeitsergebnisse der einzelnen Phasen wie Sicherheitskonzept, Richtlinien oder Untersuchungsergebnisse von Sicherheitsvorfällen SOLLTEN ausreichend dokumentiert werden.

Es SOLLTE eine geregelte Vorgehensweise für die Erstellung und Archivierung von Dokumentationen im Rahmen des Sicherheitsprozesses geben.

  • Regelungen SOLLTEN existieren, um die Aktualität und Vertraulichkeit der Dokumentationen zu wahren.
  • Von den vorhandenen Dokumenten SOLLTE die jeweils aktuelle Version kurzfristig zugänglich sein.
  • Außerdem SOLLTEN alle Vorgängerversionen zentral archiviert werden.

A15 Wirtschaftlicher Einsatz von Ressourcen für Informationssicherheit

Die Sicherheitsstrategie SOLLTE wirtschaftliche Aspekte berücksichtigen.

  • Werden Sicherheitsmaßnahmen festgelegt, SOLLTEN die dafür erforderlichen Ressourcen beziffert werden.
  • Die für Informationssicherheit eingeplanten Ressourcen SOLLTEN termingerecht bereitgestellt werden.
  • Bei Arbeitsspitzen oder besonderen Aufgaben SOLLTEN zusätzliche interne Mitarbeitenden eingesetzt oder externe Expertise hinzugezogen werden.

Erhöht

Exemplarische Vorschläge für erhöhten Schutzbedarf
  • Über das den Stand der Technik entsprechende Schutzniveau hinausgehend
SOLLTEN bei ERHÖHTEM SCHUTZBEDARF in Betracht gezogen werden
  • Festlegung im Rahmen einer Risikoanalyse
Anforderung Beschreibung Rolle
A16 A16 Erstellung von zielgruppengerechten Sicherheitsrichtlinien
A17 Abschließen von Versicherungen

A16 Erstellung von zielgruppengerechten Sicherheitsrichtlinien

Neben allgemeinen SOLLTE es auch zielgruppenorientierte Sicherheitsrichtlinien geben, die jeweils bedarfsgerecht die relevanten Sicherheitsthemen abbilden.

A17 Abschließen von Versicherungen

Es SOLLTE regelmäßig überprüft werden, ob die bestehenden Versicherungen der aktuellen Lage entsprechen.

Standards

Option Beschreibung
BSI-Standard 200-1 Anforderungen an ein Managementsystem für Informationssicherheit (ISMS)
  • Er ist kompatibel zu ISO-Standard 27001
  • Berücksichtigt die Empfehlungen vieler anderer ISO-Standards
BSI-Standard 200-2 Basis der BSI-Methodik zum Aufbau eines Informationssicherheitsmanagements (ISMS)
  • Etabliert drei Vorgehensweisen bei der Umsetzung des IT-Grundschutzes
ISO/IEC 27000 Information security management systems - Overview and vocabulary
  • Überblick über Managementsysteme für Informationssicherheit (ISMS)
  • Zusammenhänge der verschiedenen Normen der ISO/IEC 2700x-Familie
  • Grundlegenden Begriffe und Definitionen für ISMS
ISO/IEC 27001 Information security management systems - Requirements
  • Internationale Norm zum Management von Informationssicherheit, die eine Zertifizierung ermöglicht.
ISO/IEC 27002 Code of practice for information security controls
  • Auswahl und Umsetzung von den in der ISO/IEC 27001 beschriebenen Maßnahmen
  • Funktionierendes Sicherheitsmanagement aufbauen und in der Institution verankern

Anhang

Siehe auch

Links

Weblinks