ISMS.1 Sicherheitsmanagement: Unterschied zwischen den Versionen
K Textersetzung - „Kategorie:Grundschutz“ durch „Kategorie:IT-Grundschutz“ |
|||
(44 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
Zeile 1: | Zeile 1: | ||
''' | '''ISMS.1 Sicherheitsmanagement''' - Baustein des [[:Kategorie:IT-Grundschutz/Kompendium|IT-Grundschutz/Kompendiums]] | ||
== Beschreibung == | == Beschreibung == | ||
; Informationssicherheitsmanagement | |||
* Ein funktionierendes Sicherheitsmanagement muss in die existierenden Managementstrukturen jeder Institution eingebettet werden. | * Herstellung von Informationssicherheit | ||
* aufbauen und kontinuierlich umsetzen | |||
; Durchdachter und wirksamen Prozess | |||
* Planung | |||
* Lenkung | |||
* Kontrolle | |||
; Ein funktionierendes Sicherheitsmanagement muss in die existierenden Managementstrukturen jeder Institution eingebettet werden. | |||
* Daher ist es praktisch nicht möglich, eine für jede Institution unmittelbar anwendbare Organisationsstruktur für das Sicherheitsmanagement anzugeben. | * Daher ist es praktisch nicht möglich, eine für jede Institution unmittelbar anwendbare Organisationsstruktur für das Sicherheitsmanagement anzugeben. | ||
* Vielmehr werden häufig Anpassungen an spezifische Gegebenheiten erforderlich sein. | * Vielmehr werden häufig Anpassungen an spezifische Gegebenheiten erforderlich sein. | ||
; Zielsetzung | |||
Aufzeigen, wie ein funktionierendes Managementsystem für Informationssicherheit (ISMS) | |||
* eingerichtet und | |||
* im laufenden Betrieb weiterentwickelt werden kann. | |||
== Abgrenzung und Modellierung == | Der Baustein beschreibt dazu Schritte eines systematischen Sicherheitsprozesses und gibt Anleitungen zur Erstellung eines Sicherheitskonzeptes. | ||
Der Baustein ISMS.1 Sicherheitsmanagement ist auf den Informationsverbund einmal anzuwenden. | |||
=== Abgrenzung und Modellierung === | |||
; Der Baustein ISMS.1 Sicherheitsmanagement ist auf den Informationsverbund einmal anzuwenden. | |||
Der Baustein baut auf den BSI-Standards 200-1 „Managementsysteme für Informationssicherheit“ und 200-2 „IT-Grundschutz-Methodik“ auf. | Der Baustein baut auf den BSI-Standards 200-1 „Managementsysteme für Informationssicherheit“ und 200-2 „IT-Grundschutz-Methodik“ auf. | ||
* Er fasst daraus die wichtigsten Aspekte zum Sicherheitsmanagement zusammen. | * Er fasst daraus die wichtigsten Aspekte zum Sicherheitsmanagement zusammen. | ||
In der Institution sollten regelmäßig Sicherheitsrevisionen durchgeführt werden. | ; In der Institution sollten regelmäßig Sicherheitsrevisionen durchgeführt werden. | ||
* Ausführliche Anforderungen dazu sind nicht in diesem Baustein, sondern im Baustein DER 3.1 Audits und Revisionen zu finden. | * Ausführliche Anforderungen dazu sind nicht in diesem Baustein, sondern im Baustein DER 3.1 Audits und Revisionen zu finden. | ||
* Außerdem sollten alle Mitarbeitenden der Institution sowie alle relevanten Externen systematisch und zielgruppengerecht zu Sicherheitsrisiken sensibilisiert und zu Fragen der Informationssicherheit geschult werden. | * Außerdem sollten alle Mitarbeitenden der Institution sowie alle relevanten Externen systematisch und zielgruppengerecht zu Sicherheitsrisiken sensibilisiert und zu Fragen der Informationssicherheit geschult werden. | ||
* Ausführliche Anforderungen dazu sind im Baustein ORP.3 Sensibilisierung und Schulung zur Informationssicherheit zu finden. | * Ausführliche Anforderungen dazu sind im Baustein ORP.3 Sensibilisierung und Schulung zur Informationssicherheit zu finden. | ||
Dieser Baustein behandelt ebenso keine spezifischen Aspekte zu Personal oder zum Bereich Organisation. | ; Dieser Baustein behandelt ebenso keine spezifischen Aspekte zu Personal oder zum Bereich Organisation. | ||
* Diese Anforderungen werden in den Bausteinen ORP.2 Personal bzw. | * Diese Anforderungen werden in den Bausteinen ORP.2 Personal bzw. ORP.1 Organisation behandelt. | ||
== Gefährdungslage == | === Gefährdungslage === | ||
; Typische Szenarien | ; Typische Szenarien | ||
{| class="wikitable sortable options" | {| class="wikitable sortable options" | ||
|- | |- | ||
! | ! Gefährdung !! Beschreibung | ||
|- | |- | ||
| [[# | | [[#Fehlende persönliche Verantwortung|Fehlende persönliche Verantwortung]] || Rollen und Zuständigkeiten nicht eindeutig festgelegt | ||
|- | |- | ||
| [[# | | [[#Mangelnde Unterstützung durch die Institutionsleitung|Mangelnde Unterstützung durch die Institutionsleitung]] || Sicherheitsprozess nicht vollständig durchführbar | ||
|- | |- | ||
| [[# | | [[#Unzureichende strategische und konzeptionelle Vorgaben|Unzureichende strategische und konzeptionelle Vorgaben]] || Ohne strategische Vorgaben wird häufig unstrukturiert vorgegangen. | ||
|} | |} | ||
=== Fehlende persönliche Verantwortung | ==== Fehlende persönliche Verantwortung ==== | ||
; Fehlende persönliche Verantwortung im Sicherheitsprozess | |||
Sind in einer Institution die Rollen und Zuständigkeiten im Sicherheitsprozess nicht eindeutig festgelegt, dann ist es wahrscheinlich, dass viele Mitarbeitende ihre Verantwortung für die Informationssicherheit mit dem Verweis auf übergeordnete Hierarchie-Ebenen ablehnen oder vergessen. | Sind in einer Institution die Rollen und Zuständigkeiten im Sicherheitsprozess nicht eindeutig festgelegt, dann ist es wahrscheinlich, dass viele Mitarbeitende ihre Verantwortung für die Informationssicherheit mit dem Verweis auf übergeordnete Hierarchie-Ebenen ablehnen oder vergessen. | ||
* Als Folge werden Sicherheitsmaßnahmen nicht umgesetzt, da diese zunächst fast immer einen Mehraufwand im gewohnten Arbeitsablauf darstellen. | * Als Folge werden Sicherheitsmaßnahmen nicht umgesetzt, da diese zunächst fast immer einen Mehraufwand im gewohnten Arbeitsablauf darstellen. | ||
=== Mangelnde Unterstützung durch die Institutionsleitung === | ==== Mangelnde Unterstützung durch die Institutionsleitung ==== | ||
Werden die Sicherheitsverantwortlichen nicht uneingeschränkt durch die Institutionsleitung unterstützt, kann es schwierig werden, die notwendigen Maßnahmen einzufordern. | Werden die Sicherheitsverantwortlichen nicht uneingeschränkt durch die Institutionsleitung unterstützt, kann es schwierig werden, die notwendigen Maßnahmen einzufordern. | ||
* Dies gilt insbesondere für Personen, die in der Linienstruktur über den Sicherheitsverantwortlichen stehen. | * Dies gilt insbesondere für Personen, die in der Linienstruktur über den Sicherheitsverantwortlichen stehen. | ||
* In diesem Fall ist der Sicherheitsprozess nicht vollständig durchführbar. | * In diesem Fall ist der Sicherheitsprozess nicht vollständig durchführbar. | ||
=== Unzureichende strategische und konzeptionelle Vorgaben === | ==== Unzureichende strategische und konzeptionelle Vorgaben ==== | ||
In vielen Institutionen wird zwar ein Sicherheitskonzept erstellt, dessen Inhalt ist dann aber häufig nur wenigen Personen in der Institution bekannt. | In vielen Institutionen wird zwar ein Sicherheitskonzept erstellt, dessen Inhalt ist dann aber häufig nur wenigen Personen in der Institution bekannt. | ||
* Dies führt dazu, dass Vorgaben an Stellen, an denen organisatorischer Aufwand zu betreiben wäre, bewusst oder unbewusst nicht eingehalten werden. | * Dies führt dazu, dass Vorgaben an Stellen, an denen organisatorischer Aufwand zu betreiben wäre, bewusst oder unbewusst nicht eingehalten werden. | ||
Zeile 58: | Zeile 70: | ||
* Dadurch können bestenfalls Teilaspekte verbessert werden. | * Dadurch können bestenfalls Teilaspekte verbessert werden. | ||
=== Unzureichende oder fehlgeleitete Investitionen === | ==== Unzureichende oder fehlgeleitete Investitionen ==== | ||
Wenn die Institutionsleitung nicht ausreichend über den Sicherheitszustand sämtlicher Geschäftsprozesse, IT-Systeme und Anwendungen sowie über vorhandene Mängel unterrichtet ist, werden nicht genügend Ressourcen für den Sicherheitsprozess bereitgestellt oder diese nicht sachgerecht eingesetzt. | Wenn die Institutionsleitung nicht ausreichend über den Sicherheitszustand sämtlicher Geschäftsprozesse, IT-Systeme und Anwendungen sowie über vorhandene Mängel unterrichtet ist, werden nicht genügend Ressourcen für den Sicherheitsprozess bereitgestellt oder diese nicht sachgerecht eingesetzt. | ||
* In letzterem Fall kann dies dazu führen, dass einem übertrieben hohen Sicherheitsniveau in einem Teilbereich schwerwiegende Mängel in einem anderen gegenüberstehen. | * In letzterem Fall kann dies dazu führen, dass einem übertrieben hohen Sicherheitsniveau in einem Teilbereich schwerwiegende Mängel in einem anderen gegenüberstehen. | ||
Zeile 64: | Zeile 76: | ||
Häufig ist auch zu beobachten, dass teure technische Sicherheitslösungen falsch eingesetzt werden und somit unwirksam sind oder sogar selbst zur Gefahrenquelle werden. | Häufig ist auch zu beobachten, dass teure technische Sicherheitslösungen falsch eingesetzt werden und somit unwirksam sind oder sogar selbst zur Gefahrenquelle werden. | ||
=== Unzureichende Durchsetzbarkeit von Sicherheitsmaßnahmen === | ==== Unzureichende Durchsetzbarkeit von Sicherheitsmaßnahmen ==== | ||
Um ein durchgehendes und angemessenes Sicherheitsniveau zu erreichen, müssen unterschiedliche Zuständigkeitsbereiche innerhalb einer Institution miteinander kooperieren. | Um ein durchgehendes und angemessenes Sicherheitsniveau zu erreichen, müssen unterschiedliche Zuständigkeitsbereiche innerhalb einer Institution miteinander kooperieren. | ||
* Fehlende strategische Leitaussagen und unklare Zielsetzungen führen mitunter aber zu unterschiedlichen Interpretationen der Bedeutung von Informationssicherheit. | * Fehlende strategische Leitaussagen und unklare Zielsetzungen führen mitunter aber zu unterschiedlichen Interpretationen der Bedeutung von Informationssicherheit. | ||
Zeile 70: | Zeile 82: | ||
* Somit könnten Sicherheitsmaßnahmen nicht umgesetzt werden. | * Somit könnten Sicherheitsmaßnahmen nicht umgesetzt werden. | ||
=== Fehlende Aktualisierung im Sicherheitsprozess === | ==== Fehlende Aktualisierung im Sicherheitsprozess ==== | ||
Neue Geschäftsprozesse, Anwendungen und IT-Systeme sowie neue Bedrohungen beeinflussen permanent den Status der Informationssicherheit innerhalb einer Institution. | Neue Geschäftsprozesse, Anwendungen und IT-Systeme sowie neue Bedrohungen beeinflussen permanent den Status der Informationssicherheit innerhalb einer Institution. | ||
* Fehlt ein effektives Revisionskonzept, das auch das Bewusstsein für neue Bedrohungen stärkt, verringert sich das Sicherheitsniveau. | * Fehlt ein effektives Revisionskonzept, das auch das Bewusstsein für neue Bedrohungen stärkt, verringert sich das Sicherheitsniveau. | ||
* Aus der realen Sicherheit wird dann schleichend eine gefährliche Scheinsicherheit. | * Aus der realen Sicherheit wird dann schleichend eine gefährliche Scheinsicherheit. | ||
=== Verstoß gegen gesetzliche Regelungen und vertragliche Vereinbarungen === | ==== Verstoß gegen gesetzliche Regelungen und vertragliche Vereinbarungen ==== | ||
Wenn Informationen, Geschäftsprozesse und IT-Systeme einer Institution unzureichend abgesichert sind, beispielsweise durch ein unzureichendes Sicherheitsmanagement, kann gegen Rechtsvorschriften mit Bezug zur Informationsverarbeitung oder gegen bestehende Verträge mit Geschäftspartnern und -partnerinnen verstoßen werden. | Wenn Informationen, Geschäftsprozesse und IT-Systeme einer Institution unzureichend abgesichert sind, beispielsweise durch ein unzureichendes Sicherheitsmanagement, kann gegen Rechtsvorschriften mit Bezug zur Informationsverarbeitung oder gegen bestehende Verträge mit Geschäftspartnern und -partnerinnen verstoßen werden. | ||
* Welche Gesetze jeweils zu beachten sind, hängt von der Art der Institution beziehungsweise ihrer Geschäftsprozesse und Dienstleistungen ab. | * Welche Gesetze jeweils zu beachten sind, hängt von der Art der Institution beziehungsweise ihrer Geschäftsprozesse und Dienstleistungen ab. | ||
Je nachdem, wo sich die Standorte einer Institution befinden, können auch verschiedene nationale und internationale Vorschriften zu beachten sein. | Je nachdem, wo sich die Standorte einer Institution befinden, können auch verschiedene nationale und internationale Vorschriften zu beachten sein. | ||
* Verfügt eine Institution über unzureichende Kenntnisse hinsichtlich internationaler Gesetzesvorgaben, z. | * Verfügt eine Institution über unzureichende Kenntnisse hinsichtlich internationaler Gesetzesvorgaben, z. B. zu Datenschutz, Informationspflicht, Insolvenzrecht, Haftung oder Informationszugriff für Dritte, erhöht dies das Risiko entsprechender Verstöße. | ||
* Dann drohen rechtliche Konsequenzen. | * Dann drohen rechtliche Konsequenzen. | ||
Zeile 88: | Zeile 98: | ||
* Verstößt ein Vertragspartner oder -partnerin gegen vertraglich geregelte Sicherheitsanforderungen, kann dies Vertragsstrafen, Vertragsauflösungen oder sogar den Verlust von Geschäftsbeziehungen nach sich ziehen. | * Verstößt ein Vertragspartner oder -partnerin gegen vertraglich geregelte Sicherheitsanforderungen, kann dies Vertragsstrafen, Vertragsauflösungen oder sogar den Verlust von Geschäftsbeziehungen nach sich ziehen. | ||
=== Störung der Geschäftsabläufe aufgrund von Sicherheitsvorfällen === | ==== Störung der Geschäftsabläufe aufgrund von Sicherheitsvorfällen ==== | ||
Sicherheitsvorfälle können durch ein einzelnes Ereignis oder eine Verkettung unglücklicher Umstände ausgelöst werden. | Sicherheitsvorfälle können durch ein einzelnes Ereignis oder eine Verkettung unglücklicher Umstände ausgelöst werden. | ||
* Sie können dazu führen, dass die Vertraulichkeit, Integrität oder Verfügbarkeit von Informationen und IT-Systemen beeinträchtigt werden. | * Sie können dazu führen, dass die Vertraulichkeit, Integrität oder Verfügbarkeit von Informationen und IT-Systemen beeinträchtigt werden. | ||
Zeile 97: | Zeile 107: | ||
* In vielen Fällen führt die Verkettung kleiner Ursachen zu großen Schäden. | * In vielen Fällen führt die Verkettung kleiner Ursachen zu großen Schäden. | ||
=== Unwirtschaftlicher Umgang mit Ressourcen durch unzureichendes Sicherheitsmanagement === | ==== Unwirtschaftlicher Umgang mit Ressourcen durch unzureichendes Sicherheitsmanagement ==== | ||
Ein unzureichendes Sicherheitsmanagement kann dazu führen, dass falsche Prioritäten gesetzt werden und nicht an denjenigen Stellen investiert wird, die den größten Mehrwert für die Institution bringen. | Ein unzureichendes Sicherheitsmanagement kann dazu führen, dass falsche Prioritäten gesetzt werden und nicht an denjenigen Stellen investiert wird, die den größten Mehrwert für die Institution bringen. | ||
* Dies kann zu folgenden Fehlern führen:* Es wird in teure Sicherheitslösungen investiert, ohne dass eine Basis an notwendigen organisatorischen Regelungen vorhanden ist. | * Dies kann zu folgenden Fehlern führen: | ||
* Es wird in teure Sicherheitslösungen investiert, ohne dass eine Basis an notwendigen organisatorischen Regelungen vorhanden ist. | |||
* Nicht geklärte Zuständigkeiten und Verantwortlichkeiten können trotz teurer Investitionen zu schweren Sicherheitsvorfällen führen. | * Nicht geklärte Zuständigkeiten und Verantwortlichkeiten können trotz teurer Investitionen zu schweren Sicherheitsvorfällen führen. | ||
* Es wird in den Bereichen einer Institution in Informationssicherheit investiert, die für Informationssicherheit besonders sensibilisiert sind. | * Es wird in den Bereichen einer Institution in Informationssicherheit investiert, die für Informationssicherheit besonders sensibilisiert sind. | ||
Zeile 123: | Zeile 134: | ||
* Bei strategischen Entscheidungen ist der oder die ISB stets einzubeziehen. | * Bei strategischen Entscheidungen ist der oder die ISB stets einzubeziehen. | ||
Im IT-Grundschutz | Im IT-Grundschutz/Kompendium sind darüber hinaus weitere Rollen definiert. | ||
* Sie sollten besetzt werden, insofern dies sinnvoll und angemessen ist. | * Sie sollten besetzt werden, insofern dies sinnvoll und angemessen ist. | ||
Zeile 146: | Zeile 157: | ||
=== Basis-Anforderungen === | === Basis-Anforderungen === | ||
Basis-Anforderungen MÜSSEN vorrangig erfüllt werden. | |||
{| class="wikitable options" | |||
|- | |||
! Anforderung !! Beschreibung !! Rolle | |||
|- | |||
| A1 || [[#A1 Übernahme der Gesamtverantwortung für Informationssicherheit durch die Leitung|Übernahme der Gesamtverantwortung für Informationssicherheit durch die Leitung]] || [[Institutionsleitung]] | |||
|- | |||
| A2 || [[#A2 Festlegung der Sicherheitsziele und -strategie|Festlegung der Sicherheitsziele und -strategie]] || [[Institutionsleitung]] | |||
|- | |||
| A3 || [[#A3 Erstellung einer Leitlinie zur Informationssicherheit| Erstellung einer Leitlinie zur Informationssicherheit]] || [[Institutionsleitung]] | |||
|- | |||
| A4 || [[#A4 Benennung eines oder einer Informationssicherheitsbeauftragten|Benennung eines oder einer Informationssicherheitsbeauftragten]] || [[Institutionsleitung]] | |||
|- | |||
| A5 || [[#A5 Vertragsgestaltung bei Bestellung eines oder einer externen Informationssicherheitsbeauftragten|Vertragsgestaltung bei Bestellung eines oder einer externen Informationssicherheitsbeauftragten]] || [[Institutionsleitung]] | |||
|- | |||
| A6 || [[#A6 Aufbau einer geeigneten Organisationsstruktur für Informationssicherheit| Aufbau einer geeigneten Organisationsstruktur für Informationssicherheit]] || [[Institutionsleitung]] | |||
|- | |||
| A7 || [[#A7 Festlegung von Sicherheitsmaßnahmen|Festlegung von Sicherheitsmaßnahmen]] || [[Vorgesetzte]] | |||
|- | |||
| A8 || [[#A8 Integration der Mitarbeitenden in den Sicherheitsprozess| Integration der Mitarbeitenden in den Sicherheitsprozess]] || | |||
|- | |||
| A9 || [[#A9 Integration der Informationssicherheit in organisationsweite Abläufe und Prozesse| Integration der Informationssicherheit in organisationsweite Abläufe und Prozesse]] || [[Institutionsleitung]] | |||
|} | |||
==== | ==== A1 Übernahme der Gesamtverantwortung für Informationssicherheit durch die Leitung ==== | ||
Die Institutionsleitung MUSS die Gesamtverantwortung für Informationssicherheit in der Institution übernehmen. | Die Institutionsleitung MUSS die Gesamtverantwortung für Informationssicherheit in der Institution übernehmen. | ||
* Dies MUSS für alle Beteiligten deutlich erkennbar sein. | * Dies MUSS für alle Beteiligten deutlich erkennbar sein. | ||
Zeile 160: | Zeile 194: | ||
* Insbesondere MUSS sich die Institutionsleitung über mögliche Risiken und Konsequenzen aufgrund fehlender Sicherheitsmaßnahmen informieren lassen. | * Insbesondere MUSS sich die Institutionsleitung über mögliche Risiken und Konsequenzen aufgrund fehlender Sicherheitsmaßnahmen informieren lassen. | ||
==== | ==== A2 Festlegung der Sicherheitsziele und -strategie ==== | ||
Die Institutionsleitung MUSS den Sicherheitsprozess initiieren und etablieren. | Die Institutionsleitung MUSS den Sicherheitsprozess initiieren und etablieren. | ||
* Dafür MUSS die Institutionsleitung angemessene Sicherheitsziele sowie eine Strategie für Informationssicherheit festlegen und dokumentieren. | * Dafür MUSS die Institutionsleitung angemessene Sicherheitsziele sowie eine Strategie für Informationssicherheit festlegen und dokumentieren. | ||
Zeile 168: | Zeile 202: | ||
* Die Institutionsleitung MUSS die Sicherheitsziele und die Sicherheitsstrategie regelmäßig dahingehend überprüfen, ob sie noch aktuell und angemessen sind und wirksam umgesetzt werden können. | * Die Institutionsleitung MUSS die Sicherheitsziele und die Sicherheitsstrategie regelmäßig dahingehend überprüfen, ob sie noch aktuell und angemessen sind und wirksam umgesetzt werden können. | ||
==== | ==== A3 Erstellung einer Leitlinie zur Informationssicherheit ==== | ||
Die Institutionsleitung MUSS eine übergeordnete Leitlinie zur Informationssicherheit verabschieden. | Die Institutionsleitung MUSS eine übergeordnete Leitlinie zur Informationssicherheit verabschieden. | ||
* Diese MUSS den Stellenwert der Informationssicherheit, die Sicherheitsziele, die wichtigsten Aspekte der Sicherheitsstrategie sowie die Organisationsstruktur für Informationssicherheit beschreiben. | * Diese MUSS den Stellenwert der Informationssicherheit, die Sicherheitsziele, die wichtigsten Aspekte der Sicherheitsstrategie sowie die Organisationsstruktur für Informationssicherheit beschreiben. | ||
Zeile 177: | Zeile 211: | ||
* Die Leitlinie zur Informationssicherheit SOLLTE regelmäßig aktualisiert werden. | * Die Leitlinie zur Informationssicherheit SOLLTE regelmäßig aktualisiert werden. | ||
==== | ==== A4 Benennung eines oder einer Informationssicherheitsbeauftragten (B) [Institutionsleitung] ==== | ||
Die Institutionsleitung MUSS einen oder eine ISB benennen. | Die Institutionsleitung MUSS einen oder eine ISB benennen. | ||
* Der oder die ISB MUSS die Informationssicherheit in der Institution fördern und den Sicherheitsprozess mitsteuern und koordinieren. | * Der oder die ISB MUSS die Informationssicherheit in der Institution fördern und den Sicherheitsprozess mitsteuern und koordinieren. | ||
Zeile 186: | Zeile 220: | ||
Der oder die ISB MUSS bei allen größeren Projekten sowie bei der Einführung neuer Anwendungen und IT-Systeme frühzeitig beteiligt werden. | Der oder die ISB MUSS bei allen größeren Projekten sowie bei der Einführung neuer Anwendungen und IT-Systeme frühzeitig beteiligt werden. | ||
==== | ==== A5 Vertragsgestaltung bei Bestellung eines oder einer externen Informationssicherheitsbeauftragten ==== | ||
Die Institutionsleitung MUSS einen externen oder eine externe ISB bestellen, wenn die Rolle des oder der ISB nicht durch einen internen Mitarbeitenden besetzt werden kann. | Die Institutionsleitung MUSS einen externen oder eine externe ISB bestellen, wenn die Rolle des oder der ISB nicht durch einen internen Mitarbeitenden besetzt werden kann. | ||
* Der Vertrag mit einem oder einer externen ISB MUSS alle Aufgaben des oder der ISB sowie die damit verbundenen Rechte und Pflichten umfassen. | * Der Vertrag mit einem oder einer externen ISB MUSS alle Aufgaben des oder der ISB sowie die damit verbundenen Rechte und Pflichten umfassen. | ||
Zeile 192: | Zeile 226: | ||
* Der Vertrag MUSS eine kontrollierte Beendigung des Vertragsverhältnisses, einschließlich der Übergabe der Aufgaben an die Auftraggebenden, gewährleisten. | * Der Vertrag MUSS eine kontrollierte Beendigung des Vertragsverhältnisses, einschließlich der Übergabe der Aufgaben an die Auftraggebenden, gewährleisten. | ||
==== | ==== A6 Aufbau einer geeigneten Organisationsstruktur für Informationssicherheit ==== | ||
Eine geeignete übergreifende Organisationsstruktur für Informationssicherheit MUSS vorhanden sein. | Eine geeignete übergreifende Organisationsstruktur für Informationssicherheit MUSS vorhanden sein. | ||
* Dafür MÜSSEN Rollen definiert sein, die konkrete Aufgaben übernehmen, um die Sicherheitsziele zu erreichen. | * Dafür MÜSSEN Rollen definiert sein, die konkrete Aufgaben übernehmen, um die Sicherheitsziele zu erreichen. | ||
Zeile 204: | Zeile 238: | ||
Es MUSS regelmäßig geprüft werden, ob die Organisationsstruktur für Informationssicherheit noch angemessen ist oder ob sie an neue Rahmenbedingungen angepasst werden muss. | Es MUSS regelmäßig geprüft werden, ob die Organisationsstruktur für Informationssicherheit noch angemessen ist oder ob sie an neue Rahmenbedingungen angepasst werden muss. | ||
==== | ==== A7 Festlegung von Sicherheitsmaßnahmen ==== | ||
Im Rahmen des Sicherheitsprozesses MÜSSEN für die gesamte Informationsverarbeitung ausführliche und angemessene Sicherheitsmaßnahmen festgelegt werden. | Im Rahmen des Sicherheitsprozesses MÜSSEN für die gesamte Informationsverarbeitung ausführliche und angemessene Sicherheitsmaßnahmen festgelegt werden. | ||
* Alle Sicherheitsmaßnahmen SOLLTEN systematisch in Sicherheitskonzepten dokumentiert werden. | * Alle Sicherheitsmaßnahmen SOLLTEN systematisch in Sicherheitskonzepten dokumentiert werden. | ||
* Die Sicherheitsmaßnahmen SOLLTEN regelmäßig aktualisiert werden. | * Die Sicherheitsmaßnahmen SOLLTEN regelmäßig aktualisiert werden. | ||
==== | ==== A8 Integration der Mitarbeitenden in den Sicherheitsprozess ==== | ||
Alle Mitarbeitenden MÜSSEN in den Sicherheitsprozess integriert sein. | Alle Mitarbeitenden MÜSSEN in den Sicherheitsprozess integriert sein. | ||
* Hierfür MÜSSEN sie über Hintergründe und die für sie relevanten Gefährdungen informiert sein. | * Hierfür MÜSSEN sie über Hintergründe und die für sie relevanten Gefährdungen informiert sein. | ||
Zeile 221: | Zeile 255: | ||
Die Mitarbeitenden MÜSSEN darüber aufgeklärt werden, welche Konsequenzen eine Verletzung der Sicherheitsvorgaben haben kann. | Die Mitarbeitenden MÜSSEN darüber aufgeklärt werden, welche Konsequenzen eine Verletzung der Sicherheitsvorgaben haben kann. | ||
==== | ==== A9 Integration der Informationssicherheit in organisationsweite Abläufe und Prozesse (B) [Institutionsleitung] ==== | ||
Informationssicherheit MUSS in alle Geschäftsprozesse sowie Fachaufgaben integriert werden. | Informationssicherheit MUSS in alle Geschäftsprozesse sowie Fachaufgaben integriert werden. | ||
* Es MUSS dabei gewährleistet sein, dass nicht nur bei neuen Prozessen und Projekten, sondern auch bei laufenden Aktivitäten alle erforderlichen Sicherheitsaspekte berücksichtigt werden. | * Es MUSS dabei gewährleistet sein, dass nicht nur bei neuen Prozessen und Projekten, sondern auch bei laufenden Aktivitäten alle erforderlichen Sicherheitsaspekte berücksichtigt werden. | ||
Zeile 239: | Zeile 273: | ||
! Anforderung !! Beschreibung !! Rolle | ! Anforderung !! Beschreibung !! Rolle | ||
|- | |- | ||
| | | A10 || [[#A10 Erstellung eines Sicherheitskonzepts|Erstellung eines Sicherheitskonzepts]] || | ||
|- | |- | ||
| | | A11 || [[#A11 Aufrechterhaltung der Informationssicherheit|Aufrechterhaltung der Informationssicherheit]] || | ||
|- | |- | ||
| | | A12 || [[#A12 Management-Berichte zur Informationssicherheit|Management-Berichte zur Informationssicherheit]] || [[Institutionsleitung]] | ||
|- | |- | ||
| | | A13 || [[#A13 Dokumentation des Sicherheitsprozesses|Dokumentation des Sicherheitsprozesses]] || | ||
|- | |- | ||
| | | A14 || ENTFALLEN || | ||
|- | |- | ||
| | | A15 || [[#A15 Wirtschaftlicher Einsatz von Ressourcen für Informationssicherheit|Wirtschaftlicher Einsatz von Ressourcen für Informationssicherheit]] || | ||
|} | |} | ||
==== | ==== A10 Erstellung eines Sicherheitskonzepts ==== | ||
Für den festgelegten Geltungsbereich (Informationsverbund) SOLLTE ein angemessenes Sicherheitskonzept als das zentrale Dokument im Sicherheitsprozess erstellt werden. | Für den festgelegten Geltungsbereich (Informationsverbund) SOLLTE ein angemessenes Sicherheitskonzept als das zentrale Dokument im Sicherheitsprozess erstellt werden. | ||
* Es SOLLTE entschieden werden, ob das Sicherheitskonzept aus einem oder aus mehreren Teilkonzepten bestehen soll, die sukzessive erstellt werden, um zunächst in ausgewählten Bereichen das erforderliche Sicherheitsniveau herzustellen. | * Es SOLLTE entschieden werden, ob das Sicherheitskonzept aus einem oder aus mehreren Teilkonzepten bestehen soll, die sukzessive erstellt werden, um zunächst in ausgewählten Bereichen das erforderliche Sicherheitsniveau herzustellen. | ||
Zeile 274: | Zeile 296: | ||
* Dies MUSS geplant und die Umsetzung MUSS kontrolliert werden. | * Dies MUSS geplant und die Umsetzung MUSS kontrolliert werden. | ||
==== | ==== A11 Aufrechterhaltung der Informationssicherheit ==== | ||
Der Sicherheitsprozess, die Sicherheitskonzepte, die Leitlinie zur Informationssicherheit und die Organisationsstruktur für Informationssicherheit SOLLTEN regelmäßig auf Wirksamkeit und Angemessenheit überprüft und aktualisiert werden. | Der Sicherheitsprozess, die Sicherheitskonzepte, die Leitlinie zur Informationssicherheit und die Organisationsstruktur für Informationssicherheit SOLLTEN regelmäßig auf Wirksamkeit und Angemessenheit überprüft und aktualisiert werden. | ||
* Dazu SOLLTEN regelmäßig Vollständigkeits- bzw. Aktualisierungsprüfungen des Sicherheitskonzeptes durchgeführt werden. | * Dazu SOLLTEN regelmäßig Vollständigkeits- bzw. Aktualisierungsprüfungen des Sicherheitskonzeptes durchgeführt werden. | ||
Ebenso SOLLTEN regelmäßig Sicherheitsrevisionen durchgeführt werden. | Ebenso SOLLTEN regelmäßig Sicherheitsrevisionen durchgeführt werden. | ||
Zeile 285: | Zeile 307: | ||
* Darauf aufbauend SOLLTEN Mängel beseitigt und Korrekturmaßnahmen ergriffen werden. | * Darauf aufbauend SOLLTEN Mängel beseitigt und Korrekturmaßnahmen ergriffen werden. | ||
==== | ==== A12 Management-Berichte zur Informationssicherheit ==== | ||
Die Institutionsleitung SOLLTE sich regelmäßig über den Stand der Informationssicherheit informieren, insbesondere über die aktuelle Gefährdungslage sowie die Wirksamkeit und Effizienz des Sicherheitsprozesses. | Die Institutionsleitung SOLLTE sich regelmäßig über den Stand der Informationssicherheit informieren, insbesondere über die aktuelle Gefährdungslage sowie die Wirksamkeit und Effizienz des Sicherheitsprozesses. | ||
* Dazu SOLLTEN Management-Berichte geschrieben werden, welche die wesentlichen relevanten Informationen über den Sicherheitsprozess enthalten, insbesondere über Probleme, Erfolge und Verbesserungsmöglichkeiten. | * Dazu SOLLTEN Management-Berichte geschrieben werden, welche die wesentlichen relevanten Informationen über den Sicherheitsprozess enthalten, insbesondere über Probleme, Erfolge und Verbesserungsmöglichkeiten. | ||
Zeile 295: | Zeile 317: | ||
* Die Management-Entscheidungen SOLLTEN revisionssicher archiviert werden. | * Die Management-Entscheidungen SOLLTEN revisionssicher archiviert werden. | ||
==== | ==== A13 Dokumentation des Sicherheitsprozesses ==== | ||
Der Ablauf des Sicherheitsprozesses SOLLTE dokumentiert werden. | Der Ablauf des Sicherheitsprozesses SOLLTE dokumentiert werden. | ||
* Wichtige Entscheidungen und die Arbeitsergebnisse der einzelnen Phasen wie Sicherheitskonzept, Richtlinien oder Untersuchungsergebnisse von Sicherheitsvorfällen SOLLTEN ausreichend dokumentiert werden. | * Wichtige Entscheidungen und die Arbeitsergebnisse der einzelnen Phasen wie Sicherheitskonzept, Richtlinien oder Untersuchungsergebnisse von Sicherheitsvorfällen SOLLTEN ausreichend dokumentiert werden. | ||
Zeile 304: | Zeile 326: | ||
* Außerdem SOLLTEN alle Vorgängerversionen zentral archiviert werden. | * Außerdem SOLLTEN alle Vorgängerversionen zentral archiviert werden. | ||
==== | ==== A15 Wirtschaftlicher Einsatz von Ressourcen für Informationssicherheit ==== | ||
Die Sicherheitsstrategie SOLLTE wirtschaftliche Aspekte berücksichtigen. | Die Sicherheitsstrategie SOLLTE wirtschaftliche Aspekte berücksichtigen. | ||
* Werden Sicherheitsmaßnahmen festgelegt, SOLLTEN die dafür erforderlichen Ressourcen beziffert werden. | * Werden Sicherheitsmaßnahmen festgelegt, SOLLTEN die dafür erforderlichen Ressourcen beziffert werden. | ||
Zeile 324: | Zeile 343: | ||
! Anforderung !! Beschreibung !! Rolle | ! Anforderung !! Beschreibung !! Rolle | ||
|- | |- | ||
| | | A16 || [[#A16 Erstellung von zielgruppengerechten Sicherheitsrichtlinien | A16 Erstellung von zielgruppengerechten Sicherheitsrichtlinien]] || | ||
|- | |- | ||
| | | A17 || [[#A17 Abschließen von Versicherungen | Abschließen von Versicherungen]] || | ||
| | |} | ||
| | |||
==== A16 Erstellung von zielgruppengerechten Sicherheitsrichtlinien ==== | |||
Neben allgemeinen SOLLTE es auch zielgruppenorientierte Sicherheitsrichtlinien geben, die jeweils bedarfsgerecht die relevanten Sicherheitsthemen abbilden. | |||
==== A17 Abschließen von Versicherungen ==== | |||
Es SOLLTE regelmäßig überprüft werden, ob die bestehenden Versicherungen der aktuellen Lage entsprechen. | |||
== Standards == | |||
{| class="wikitable sortable options" | |||
|- | |- | ||
! Option !! Beschreibung | |||
|- | |- | ||
| [[BSI-Standard 200-1]] || Anforderungen an ein Managementsystem für Informationssicherheit (ISMS) | |||
* Er ist kompatibel zu ISO-Standard 27001 | |||
* Berücksichtigt die Empfehlungen vieler anderer ISO-Standards | |||
|- | |- | ||
| [[BSI-Standard 200-2]] || Basis der BSI-Methodik zum Aufbau eines Informationssicherheitsmanagements (ISMS) | |||
* Etabliert drei Vorgehensweisen bei der Umsetzung des IT-Grundschutzes | |||
|- | |- | ||
| [[ISO/IEC 27000]] || Information security management systems - Overview and vocabulary | |||
* Überblick über Managementsysteme für Informationssicherheit (ISMS) | |||
* Zusammenhänge der verschiedenen Normen der ISO/IEC 2700x-Familie | |||
* Grundlegenden Begriffe und Definitionen für ISMS | |||
|- | |- | ||
| [[ISO/IEC 27001]] ||Information security management systems - Requirements | |||
* Internationale Norm zum Management von Informationssicherheit, die eine Zertifizierung ermöglicht. | |||
|- | |- | ||
| [[ISO/IEC 27002]] || Code of practice for information security controls | |||
* Auswahl und Umsetzung von den in der ISO/IEC 27001 beschriebenen Maßnahmen | |||
* Funktionierendes Sicherheitsmanagement aufbauen und in der Institution verankern | |||
|} | |} | ||
== Anhang == | == Anhang == | ||
Zeile 355: | Zeile 383: | ||
{{Special:PrefixIndex/Sicherheitsmanagement}} | {{Special:PrefixIndex/Sicherheitsmanagement}} | ||
==== Links ==== | ==== Links ==== | ||
===== Weblinks ===== | ===== Weblinks ===== | ||
<noinclude> | <noinclude> | ||
[[Kategorie:ISMS]] | |||
[[Kategorie: | |||
</noinclude> | </noinclude> |
Aktuelle Version vom 22. Oktober 2024, 13:42 Uhr
ISMS.1 Sicherheitsmanagement - Baustein des IT-Grundschutz/Kompendiums
Beschreibung
- Informationssicherheitsmanagement
- Herstellung von Informationssicherheit
- aufbauen und kontinuierlich umsetzen
- Durchdachter und wirksamen Prozess
- Planung
- Lenkung
- Kontrolle
- Ein funktionierendes Sicherheitsmanagement muss in die existierenden Managementstrukturen jeder Institution eingebettet werden.
- Daher ist es praktisch nicht möglich, eine für jede Institution unmittelbar anwendbare Organisationsstruktur für das Sicherheitsmanagement anzugeben.
- Vielmehr werden häufig Anpassungen an spezifische Gegebenheiten erforderlich sein.
- Zielsetzung
Aufzeigen, wie ein funktionierendes Managementsystem für Informationssicherheit (ISMS)
- eingerichtet und
- im laufenden Betrieb weiterentwickelt werden kann.
Der Baustein beschreibt dazu Schritte eines systematischen Sicherheitsprozesses und gibt Anleitungen zur Erstellung eines Sicherheitskonzeptes.
Abgrenzung und Modellierung
- Der Baustein ISMS.1 Sicherheitsmanagement ist auf den Informationsverbund einmal anzuwenden.
Der Baustein baut auf den BSI-Standards 200-1 „Managementsysteme für Informationssicherheit“ und 200-2 „IT-Grundschutz-Methodik“ auf.
- Er fasst daraus die wichtigsten Aspekte zum Sicherheitsmanagement zusammen.
- In der Institution sollten regelmäßig Sicherheitsrevisionen durchgeführt werden.
- Ausführliche Anforderungen dazu sind nicht in diesem Baustein, sondern im Baustein DER 3.1 Audits und Revisionen zu finden.
- Außerdem sollten alle Mitarbeitenden der Institution sowie alle relevanten Externen systematisch und zielgruppengerecht zu Sicherheitsrisiken sensibilisiert und zu Fragen der Informationssicherheit geschult werden.
- Ausführliche Anforderungen dazu sind im Baustein ORP.3 Sensibilisierung und Schulung zur Informationssicherheit zu finden.
- Dieser Baustein behandelt ebenso keine spezifischen Aspekte zu Personal oder zum Bereich Organisation.
- Diese Anforderungen werden in den Bausteinen ORP.2 Personal bzw. ORP.1 Organisation behandelt.
Gefährdungslage
- Typische Szenarien
Gefährdung | Beschreibung |
---|---|
Fehlende persönliche Verantwortung | Rollen und Zuständigkeiten nicht eindeutig festgelegt |
Mangelnde Unterstützung durch die Institutionsleitung | Sicherheitsprozess nicht vollständig durchführbar |
Unzureichende strategische und konzeptionelle Vorgaben | Ohne strategische Vorgaben wird häufig unstrukturiert vorgegangen. |
Fehlende persönliche Verantwortung
- Fehlende persönliche Verantwortung im Sicherheitsprozess
Sind in einer Institution die Rollen und Zuständigkeiten im Sicherheitsprozess nicht eindeutig festgelegt, dann ist es wahrscheinlich, dass viele Mitarbeitende ihre Verantwortung für die Informationssicherheit mit dem Verweis auf übergeordnete Hierarchie-Ebenen ablehnen oder vergessen.
- Als Folge werden Sicherheitsmaßnahmen nicht umgesetzt, da diese zunächst fast immer einen Mehraufwand im gewohnten Arbeitsablauf darstellen.
Mangelnde Unterstützung durch die Institutionsleitung
Werden die Sicherheitsverantwortlichen nicht uneingeschränkt durch die Institutionsleitung unterstützt, kann es schwierig werden, die notwendigen Maßnahmen einzufordern.
- Dies gilt insbesondere für Personen, die in der Linienstruktur über den Sicherheitsverantwortlichen stehen.
- In diesem Fall ist der Sicherheitsprozess nicht vollständig durchführbar.
Unzureichende strategische und konzeptionelle Vorgaben
In vielen Institutionen wird zwar ein Sicherheitskonzept erstellt, dessen Inhalt ist dann aber häufig nur wenigen Personen in der Institution bekannt.
- Dies führt dazu, dass Vorgaben an Stellen, an denen organisatorischer Aufwand zu betreiben wäre, bewusst oder unbewusst nicht eingehalten werden.
Auch wenn das Sicherheitskonzept strategische Zielsetzungen enthält, werden diese von der Institutionsleitung vielfach als bloße Sammlung von Absichtserklärungen betrachtet.
- Häufig werden dann keine ausreichenden Ressourcen zur Umsetzung zur Verfügung gestellt.
- Oft wird fälschlicherweise auch davon ausgegangen, dass in einer automatisierten Umgebung Sicherheit automatisch hergestellt wird.
Ohne strategische Vorgaben wird bei Schadensfällen häufig unstrukturiert vorgegangen.
- Dadurch können bestenfalls Teilaspekte verbessert werden.
Unzureichende oder fehlgeleitete Investitionen
Wenn die Institutionsleitung nicht ausreichend über den Sicherheitszustand sämtlicher Geschäftsprozesse, IT-Systeme und Anwendungen sowie über vorhandene Mängel unterrichtet ist, werden nicht genügend Ressourcen für den Sicherheitsprozess bereitgestellt oder diese nicht sachgerecht eingesetzt.
- In letzterem Fall kann dies dazu führen, dass einem übertrieben hohen Sicherheitsniveau in einem Teilbereich schwerwiegende Mängel in einem anderen gegenüberstehen.
Häufig ist auch zu beobachten, dass teure technische Sicherheitslösungen falsch eingesetzt werden und somit unwirksam sind oder sogar selbst zur Gefahrenquelle werden.
Unzureichende Durchsetzbarkeit von Sicherheitsmaßnahmen
Um ein durchgehendes und angemessenes Sicherheitsniveau zu erreichen, müssen unterschiedliche Zuständigkeitsbereiche innerhalb einer Institution miteinander kooperieren.
- Fehlende strategische Leitaussagen und unklare Zielsetzungen führen mitunter aber zu unterschiedlichen Interpretationen der Bedeutung von Informationssicherheit.
- Dies kann zur Folge haben, dass die notwendige Kooperation nicht zustande kommt, etwa weil die Aufgabe „Informationssicherheit“ als unnötig angesehen wird oder zumindest keine Priorität hat.
- Somit könnten Sicherheitsmaßnahmen nicht umgesetzt werden.
Fehlende Aktualisierung im Sicherheitsprozess
Neue Geschäftsprozesse, Anwendungen und IT-Systeme sowie neue Bedrohungen beeinflussen permanent den Status der Informationssicherheit innerhalb einer Institution.
- Fehlt ein effektives Revisionskonzept, das auch das Bewusstsein für neue Bedrohungen stärkt, verringert sich das Sicherheitsniveau.
- Aus der realen Sicherheit wird dann schleichend eine gefährliche Scheinsicherheit.
Verstoß gegen gesetzliche Regelungen und vertragliche Vereinbarungen
Wenn Informationen, Geschäftsprozesse und IT-Systeme einer Institution unzureichend abgesichert sind, beispielsweise durch ein unzureichendes Sicherheitsmanagement, kann gegen Rechtsvorschriften mit Bezug zur Informationsverarbeitung oder gegen bestehende Verträge mit Geschäftspartnern und -partnerinnen verstoßen werden.
- Welche Gesetze jeweils zu beachten sind, hängt von der Art der Institution beziehungsweise ihrer Geschäftsprozesse und Dienstleistungen ab.
Je nachdem, wo sich die Standorte einer Institution befinden, können auch verschiedene nationale und internationale Vorschriften zu beachten sein.
- Verfügt eine Institution über unzureichende Kenntnisse hinsichtlich internationaler Gesetzesvorgaben, z. B. zu Datenschutz, Informationspflicht, Insolvenzrecht, Haftung oder Informationszugriff für Dritte, erhöht dies das Risiko entsprechender Verstöße.
- Dann drohen rechtliche Konsequenzen.
In vielen Branchen ist es üblich, dass Anwendende ihre Zuliefer- und Dienstleistungsunternehmen dazu verpflichten, bestimmte Qualitäts- und Sicherheitsstandards einzuhalten.
- Verstößt ein Vertragspartner oder -partnerin gegen vertraglich geregelte Sicherheitsanforderungen, kann dies Vertragsstrafen, Vertragsauflösungen oder sogar den Verlust von Geschäftsbeziehungen nach sich ziehen.
Störung der Geschäftsabläufe aufgrund von Sicherheitsvorfällen
Sicherheitsvorfälle können durch ein einzelnes Ereignis oder eine Verkettung unglücklicher Umstände ausgelöst werden.
- Sie können dazu führen, dass die Vertraulichkeit, Integrität oder Verfügbarkeit von Informationen und IT-Systemen beeinträchtigt werden.
- Dies wirkt sich dann schnell negativ auf wesentliche Fachaufgaben und Geschäftsprozesse der betroffenen Institution aus.
- Auch wenn nicht alle Sicherheitsvorfälle in der Öffentlichkeit bekannt werden, können sie trotzdem zu negativen Auswirkungen in den Beziehungen zu Geschäftspartnern und -partnerinnen sowie Kunden und Kundinnen führen.
- Auch könnten gesetzliche Vorgaben missachtet werden.
- Dabei ist es nicht so, dass die schwersten und weitreichendsten Sicherheitsvorfälle durch die größten Sicherheitsschwachstellen ausgelöst wurden.
- In vielen Fällen führt die Verkettung kleiner Ursachen zu großen Schäden.
Unwirtschaftlicher Umgang mit Ressourcen durch unzureichendes Sicherheitsmanagement
Ein unzureichendes Sicherheitsmanagement kann dazu führen, dass falsche Prioritäten gesetzt werden und nicht an denjenigen Stellen investiert wird, die den größten Mehrwert für die Institution bringen.
- Dies kann zu folgenden Fehlern führen:
- Es wird in teure Sicherheitslösungen investiert, ohne dass eine Basis an notwendigen organisatorischen Regelungen vorhanden ist.
- Nicht geklärte Zuständigkeiten und Verantwortlichkeiten können trotz teurer Investitionen zu schweren Sicherheitsvorfällen führen.
- Es wird in den Bereichen einer Institution in Informationssicherheit investiert, die für Informationssicherheit besonders sensibilisiert sind.
- Andere Bereiche, die vielleicht für die Erfüllung der Fachaufgaben und die Erreichung der Geschäftsziele wichtiger sind, werden aufgrund von knappen Mitteln oder Desinteresse der Verantwortlichen vernachlässigt.
- Es wird dann unausgewogen in Teilbereiche investiert, während für das Gesamtsystem besonders bedeutsame Sicherheitsrisiken unbeachtet bleiben.
- Durch die einseitige Erhöhung des Schutzes einzelner Grundwerte kann sich der Gesamtschutz sogar verringern, beispielsweise indem eine Verschlüsselung von Informationen die Vertraulichkeit zwar erhöht, aber die Verfügbarkeit verringern kann.
- Ein inhomogener und unkoordinierter Einsatz von Sicherheitsprodukten kann zu hohem finanziellen und personellen Ressourceneinsatz führen.
Anforderungen
Schutzbedarf | Beschreibung |
---|---|
Basis | MÜSSEN vorrangig erfüllt werden |
Standard | SOLLTEN grundsätzlich erfüllt werden |
Erhöht | Exemplarische Vorschläge |
Im Folgenden sind die spezifischen Anforderungen des Bausteins ISMS.1 Sicherheitsmanagement aufgeführt.
- Der oder die Informationssicherheitsbeauftragte (ISB) ist dafür zuständig, dass alle Anforderungen gemäß dem festgelegten Sicherheitskonzept erfüllt und überprüft werden.
- Bei strategischen Entscheidungen ist der oder die ISB stets einzubeziehen.
Im IT-Grundschutz/Kompendium sind darüber hinaus weitere Rollen definiert.
- Sie sollten besetzt werden, insofern dies sinnvoll und angemessen ist.
Zuständigkeiten | Rollen |
---|---|
Grundsätzlich zuständig | Informationssicherheitsbeauftragte (ISB) |
Weitere Zuständigkeiten | Vorgesetzte, Institutionsleitung |
Genau eine Rolle sollte Grundsätzlich zuständig sein.
- Darüber hinaus kann es noch Weitere Zuständigkeiten geben.
- Falls eine dieser weiteren Rollen für die Erfüllung einer Anforderung vorrangig zuständig ist, dann wird diese Rolle hinter der Überschrift der Anforderung in eckigen Klammern aufgeführt.
- Die Verwendung des Singulars oder Plurals sagt nichts darüber aus, wie viele Personen diese Rollen ausfüllen sollen.
Basis-Anforderungen
Basis-Anforderungen MÜSSEN vorrangig erfüllt werden.
A1 Übernahme der Gesamtverantwortung für Informationssicherheit durch die Leitung
Die Institutionsleitung MUSS die Gesamtverantwortung für Informationssicherheit in der Institution übernehmen.
- Dies MUSS für alle Beteiligten deutlich erkennbar sein.
- Die Institutionsleitung MUSS den Sicherheitsprozess initiieren, steuern und kontrollieren.
- Die Institutionsleitung MUSS Informationssicherheit vorleben.
Die Institutionsleitung MUSS die Zuständigkeiten für Informationssicherheit festlegen.
- Die zuständigen Mitarbeitenden MÜSSEN mit den erforderlichen Kompetenzen und Ressourcen ausgestattet werden.
Die Institutionsleitung MUSS sich regelmäßig über den Status der Informationssicherheit informieren lassen.
- Insbesondere MUSS sich die Institutionsleitung über mögliche Risiken und Konsequenzen aufgrund fehlender Sicherheitsmaßnahmen informieren lassen.
A2 Festlegung der Sicherheitsziele und -strategie
Die Institutionsleitung MUSS den Sicherheitsprozess initiieren und etablieren.
- Dafür MUSS die Institutionsleitung angemessene Sicherheitsziele sowie eine Strategie für Informationssicherheit festlegen und dokumentieren.
- Es MÜSSEN konzeptionelle Vorgaben erarbeitet und organisatorische Rahmenbedingungen geschaffen werden, um den ordnungsgemäßen und sicheren Umgang mit Informationen innerhalb aller Geschäftsprozesse des Unternehmens oder Fachaufgaben der Behörde zu ermöglichen.
Die Institutionsleitung MUSS die Sicherheitsstrategie und die Sicherheitsziele tragen und verantworten.
- Die Institutionsleitung MUSS die Sicherheitsziele und die Sicherheitsstrategie regelmäßig dahingehend überprüfen, ob sie noch aktuell und angemessen sind und wirksam umgesetzt werden können.
A3 Erstellung einer Leitlinie zur Informationssicherheit
Die Institutionsleitung MUSS eine übergeordnete Leitlinie zur Informationssicherheit verabschieden.
- Diese MUSS den Stellenwert der Informationssicherheit, die Sicherheitsziele, die wichtigsten Aspekte der Sicherheitsstrategie sowie die Organisationsstruktur für Informationssicherheit beschreiben.
- Für die Sicherheitsleitlinie MUSS ein klarer Geltungsbereich festgelegt sein.
- In der Leitlinie zur Informationssicherheit MÜSSEN die Sicherheitsziele und der Bezug der Sicherheitsziele zu den Geschäftszielen und Aufgaben der Institution erläutert werden.
Die Institutionsleitung MUSS die Leitlinie zur Informationssicherheit allen Mitarbeitenden und sonstigen Mitgliedern der Institution bekannt geben.
- Die Leitlinie zur Informationssicherheit SOLLTE regelmäßig aktualisiert werden.
A4 Benennung eines oder einer Informationssicherheitsbeauftragten (B) [Institutionsleitung]
Die Institutionsleitung MUSS einen oder eine ISB benennen.
- Der oder die ISB MUSS die Informationssicherheit in der Institution fördern und den Sicherheitsprozess mitsteuern und koordinieren.
Die Institutionsleitung MUSS den oder die ISB mit angemessenen Ressourcen ausstatten.
- Die Institutionsleitung MUSS dem oder der ISB die Möglichkeit einräumen, bei Bedarf direkt an sie selbst zu berichten.
Der oder die ISB MUSS bei allen größeren Projekten sowie bei der Einführung neuer Anwendungen und IT-Systeme frühzeitig beteiligt werden.
A5 Vertragsgestaltung bei Bestellung eines oder einer externen Informationssicherheitsbeauftragten
Die Institutionsleitung MUSS einen externen oder eine externe ISB bestellen, wenn die Rolle des oder der ISB nicht durch einen internen Mitarbeitenden besetzt werden kann.
- Der Vertrag mit einem oder einer externen ISB MUSS alle Aufgaben des oder der ISB sowie die damit verbundenen Rechte und Pflichten umfassen.
- Der Vertrag MUSS eine geeignete Vertraulichkeitsvereinbarung umfassen.
- Der Vertrag MUSS eine kontrollierte Beendigung des Vertragsverhältnisses, einschließlich der Übergabe der Aufgaben an die Auftraggebenden, gewährleisten.
A6 Aufbau einer geeigneten Organisationsstruktur für Informationssicherheit
Eine geeignete übergreifende Organisationsstruktur für Informationssicherheit MUSS vorhanden sein.
- Dafür MÜSSEN Rollen definiert sein, die konkrete Aufgaben übernehmen, um die Sicherheitsziele zu erreichen.
- Außerdem MÜSSEN qualifizierte Personen benannt werden, denen ausreichend Ressourcen zur Verfügung stehen, um diese Rollen zu übernehmen.
- Die Aufgaben, Rollen, Verantwortungen und Kompetenzen im Sicherheitsmanagement MÜSSEN nachvollziehbar definiert und zugewiesen sein.
- Für alle wichtigen Funktionen der Organisation für Informationssicherheit MUSS es wirksame Vertretungsregelungen geben.
Kommunikationswege MÜSSEN geplant, beschrieben, eingerichtet und bekannt gemacht werden.
- Es MUSS für alle Aufgaben und Rollen festgelegt sein, wer wen informiert und wer bei welchen Aktionen in welchem Umfang informiert werden muss.
Es MUSS regelmäßig geprüft werden, ob die Organisationsstruktur für Informationssicherheit noch angemessen ist oder ob sie an neue Rahmenbedingungen angepasst werden muss.
A7 Festlegung von Sicherheitsmaßnahmen
Im Rahmen des Sicherheitsprozesses MÜSSEN für die gesamte Informationsverarbeitung ausführliche und angemessene Sicherheitsmaßnahmen festgelegt werden.
- Alle Sicherheitsmaßnahmen SOLLTEN systematisch in Sicherheitskonzepten dokumentiert werden.
- Die Sicherheitsmaßnahmen SOLLTEN regelmäßig aktualisiert werden.
A8 Integration der Mitarbeitenden in den Sicherheitsprozess
Alle Mitarbeitenden MÜSSEN in den Sicherheitsprozess integriert sein.
- Hierfür MÜSSEN sie über Hintergründe und die für sie relevanten Gefährdungen informiert sein.
- Sie MÜSSEN Sicherheitsmaßnahmen kennen und umsetzen, die ihren Arbeitsplatz betreffen.
Alle Mitarbeitenden MÜSSEN in die Lage versetzt werden, Sicherheit aktiv mitzugestalten.
- Daher SOLLTEN die Mitarbeitenden frühzeitig beteiligt werden, wenn Sicherheitsmaßnahmen zu planen oder organisatorische Regelungen zu gestalten sind.
Bei der Einführung von Sicherheitsrichtlinien und Sicherheitswerkzeugen MÜSSEN die Mitarbeitenden ausreichend informiert sein, wie diese anzuwenden sind.
Die Mitarbeitenden MÜSSEN darüber aufgeklärt werden, welche Konsequenzen eine Verletzung der Sicherheitsvorgaben haben kann.
A9 Integration der Informationssicherheit in organisationsweite Abläufe und Prozesse (B) [Institutionsleitung]
Informationssicherheit MUSS in alle Geschäftsprozesse sowie Fachaufgaben integriert werden.
- Es MUSS dabei gewährleistet sein, dass nicht nur bei neuen Prozessen und Projekten, sondern auch bei laufenden Aktivitäten alle erforderlichen Sicherheitsaspekte berücksichtigt werden.
- Der oder die Informationssicherheitsbeauftragte (ISB) MUSS an sicherheitsrelevanten Entscheidungen ausreichend beteiligt werden.
Informationssicherheit SOLLTE außerdem mit anderen Bereichen in der Institution, die sich mit Sicherheit und Risikomanagement beschäftigen, abgestimmt werden.
Standard
- Standard-Anforderungen
- SOLLTEN grundsätzlich erfüllt werden
Stand der Technik für Netzarchitektur und -design
- Gemeinsam mit den Basis-Anforderungen
- Anforderungen
Anforderung | Beschreibung | Rolle |
---|---|---|
A10 | Erstellung eines Sicherheitskonzepts | |
A11 | Aufrechterhaltung der Informationssicherheit | |
A12 | Management-Berichte zur Informationssicherheit | Institutionsleitung |
A13 | Dokumentation des Sicherheitsprozesses | |
A14 | ENTFALLEN | |
A15 | Wirtschaftlicher Einsatz von Ressourcen für Informationssicherheit |
A10 Erstellung eines Sicherheitskonzepts
Für den festgelegten Geltungsbereich (Informationsverbund) SOLLTE ein angemessenes Sicherheitskonzept als das zentrale Dokument im Sicherheitsprozess erstellt werden.
- Es SOLLTE entschieden werden, ob das Sicherheitskonzept aus einem oder aus mehreren Teilkonzepten bestehen soll, die sukzessive erstellt werden, um zunächst in ausgewählten Bereichen das erforderliche Sicherheitsniveau herzustellen.
Im Sicherheitskonzept MÜSSEN aus den Sicherheitszielen der Institution, dem identifizierten Schutzbedarf und der Risikobewertung konkrete Sicherheitsmaßnahmen passend zum betrachteten Informationsverbund abgeleitet werden.
- Sicherheitsprozess und Sicherheitskonzept MÜSSEN die individuell geltenden Vorschriften und Regelungen berücksichtigen.
Die im Sicherheitskonzept vorgesehenen Maßnahmen MÜSSEN zeitnah in die Praxis umgesetzt werden.
- Dies MUSS geplant und die Umsetzung MUSS kontrolliert werden.
A11 Aufrechterhaltung der Informationssicherheit
Der Sicherheitsprozess, die Sicherheitskonzepte, die Leitlinie zur Informationssicherheit und die Organisationsstruktur für Informationssicherheit SOLLTEN regelmäßig auf Wirksamkeit und Angemessenheit überprüft und aktualisiert werden.
- Dazu SOLLTEN regelmäßig Vollständigkeits- bzw. Aktualisierungsprüfungen des Sicherheitskonzeptes durchgeführt werden.
Ebenso SOLLTEN regelmäßig Sicherheitsrevisionen durchgeführt werden.
- Dazu SOLLTE geregelt sein, welche Bereiche und Sicherheitsmaßnahmen wann und von wem zu überprüfen sind. Überprüfungen des Sicherheitsniveaus SOLLTEN regelmäßig (mindestens jährlich) sowie anlassbezogen durchgeführt werden.
Die Prüfungen SOLLTEN von qualifizierten und unabhängigen Personen durchgeführt werden.
- Die Ergebnisse der Überprüfungen SOLLTEN nachvollziehbar dokumentiert sein.
- Darauf aufbauend SOLLTEN Mängel beseitigt und Korrekturmaßnahmen ergriffen werden.
A12 Management-Berichte zur Informationssicherheit
Die Institutionsleitung SOLLTE sich regelmäßig über den Stand der Informationssicherheit informieren, insbesondere über die aktuelle Gefährdungslage sowie die Wirksamkeit und Effizienz des Sicherheitsprozesses.
- Dazu SOLLTEN Management-Berichte geschrieben werden, welche die wesentlichen relevanten Informationen über den Sicherheitsprozess enthalten, insbesondere über Probleme, Erfolge und Verbesserungsmöglichkeiten.
- Die Management-Berichte SOLLTEN klar priorisierte Maßnahmenvorschläge enthalten.
- Die Maßnahmenvorschläge SOLLTEN mit realistischen Abschätzungen zum erwarteten Umsetzungsaufwand versehen sein.
- Die Management-Berichte SOLLTEN revisionssicher archiviert werden.
Die Management-Entscheidungen über erforderliche Aktionen, den Umgang mit Restrisiken und mit Veränderungen von sicherheitsrelevanten Prozessen SOLLTEN dokumentiert sein.
- Die Management-Entscheidungen SOLLTEN revisionssicher archiviert werden.
A13 Dokumentation des Sicherheitsprozesses
Der Ablauf des Sicherheitsprozesses SOLLTE dokumentiert werden.
- Wichtige Entscheidungen und die Arbeitsergebnisse der einzelnen Phasen wie Sicherheitskonzept, Richtlinien oder Untersuchungsergebnisse von Sicherheitsvorfällen SOLLTEN ausreichend dokumentiert werden.
Es SOLLTE eine geregelte Vorgehensweise für die Erstellung und Archivierung von Dokumentationen im Rahmen des Sicherheitsprozesses geben.
- Regelungen SOLLTEN existieren, um die Aktualität und Vertraulichkeit der Dokumentationen zu wahren.
- Von den vorhandenen Dokumenten SOLLTE die jeweils aktuelle Version kurzfristig zugänglich sein.
- Außerdem SOLLTEN alle Vorgängerversionen zentral archiviert werden.
A15 Wirtschaftlicher Einsatz von Ressourcen für Informationssicherheit
Die Sicherheitsstrategie SOLLTE wirtschaftliche Aspekte berücksichtigen.
- Werden Sicherheitsmaßnahmen festgelegt, SOLLTEN die dafür erforderlichen Ressourcen beziffert werden.
- Die für Informationssicherheit eingeplanten Ressourcen SOLLTEN termingerecht bereitgestellt werden.
- Bei Arbeitsspitzen oder besonderen Aufgaben SOLLTEN zusätzliche interne Mitarbeitenden eingesetzt oder externe Expertise hinzugezogen werden.
Erhöht
- Exemplarische Vorschläge für erhöhten Schutzbedarf
- Über das den Stand der Technik entsprechende Schutzniveau hinausgehend
- SOLLTEN bei ERHÖHTEM SCHUTZBEDARF in Betracht gezogen werden
- Festlegung im Rahmen einer Risikoanalyse
Anforderung | Beschreibung | Rolle |
---|---|---|
A16 | A16 Erstellung von zielgruppengerechten Sicherheitsrichtlinien | |
A17 | Abschließen von Versicherungen |
A16 Erstellung von zielgruppengerechten Sicherheitsrichtlinien
Neben allgemeinen SOLLTE es auch zielgruppenorientierte Sicherheitsrichtlinien geben, die jeweils bedarfsgerecht die relevanten Sicherheitsthemen abbilden.
A17 Abschließen von Versicherungen
Es SOLLTE regelmäßig überprüft werden, ob die bestehenden Versicherungen der aktuellen Lage entsprechen.
Standards
Option | Beschreibung |
---|---|
BSI-Standard 200-1 | Anforderungen an ein Managementsystem für Informationssicherheit (ISMS)
|
BSI-Standard 200-2 | Basis der BSI-Methodik zum Aufbau eines Informationssicherheitsmanagements (ISMS)
|
ISO/IEC 27000 | Information security management systems - Overview and vocabulary
|
ISO/IEC 27001 | Information security management systems - Requirements
|
ISO/IEC 27002 | Code of practice for information security controls
|