IT-Grundschutz/Verbesserungsprozess: Unterschied zwischen den Versionen

Aus Foxwiki
K Textersetzung - „[[Grundschutz“ durch „[[IT-Grundschutz“
 
(148 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
'''topic''' - Kurzbeschreibung
'''IT-Grundschutz Verbesserungsprozess''' - Aufrechterhaltung und Verbesserung
 
== Beschreibung ==
== Beschreibung ==
== Aufrechterhaltung und Verbesserung ==
{| class="wikitable options"
Im Realisierungsplan haben Sie festgehalten, welche Maßnahmen Ihres Sicherheitskonzepts zu welchem Zeitpunkt und in welcher Weise umgesetzt sein sollen. Dabei haben Sie erforderliche Ressourcen, eventuelle Zwischentermine und begleitende Maßnahmen berücksichtigt. Damit Sie sicher sein können, dass alles wie geplant umgesetzt ist und funktioniert, müssen Sie die '''Einhaltung der Planung''' regelmäßig kontrollieren.
|-
! Verfahren !! Beschreibung
|-
| [[#Informationssicherheitsprozess prüfen|Informationssicherheitsprozess prüfen]] ||
|-
| [[#Umsetzung prüfen|Umsetzung prüfen]] ||
|-
| [[#Sicherheitsrevision|Sicherheitsrevision]] ||
|-
| [[#Sicherheitszielen prüfen|Sicherheitszielen prüfen]] || Aktualität von Sicherheitszielen
|-
| [[#Übernahme der Ergebnisse|Übernahme der Ergebnisse]] || in den Informationssicherheitsprozess
|-
| [[#Informationsfluss|Informationsfluss]] ||
|-
| [[#Zertifizierung|Zertifizierung]] ||
|-
| [[#Effizienz und Effektivität der Vorkehrungen|Effizienz und Effektivität der Vorkehrungen]] ||
|}
 
; Informationssicherheit prüfen
* Abarbeitung einfacher Checklisten
* Punktuelle Prüfung der Netzsicherheit mittels Penetrationstests
 
; Umfassenden Prüfung
* Angemessenheit und Wirksamkeit umgesetzter Schutzmaßnahmen (technisch und organisatorisch)
 
; Regelmäßige Intervalle
Grundsätzlich gilt, dass umfassende Prüfungen in '''regelmäßigen Intervallen''' (jährlich bis maximal drei Jahre) durchgeführt werden sollten.  
 
; Sicherheitsvorfall
* Aber auch '''fallweise Prüfungen''' sind zweckmäßig, beispielsweise bei der Änderung von Geschäftsprozessen und insbesondere nach Sicherheitsvorfällen.
 
; Sicherheitsvorfälle
* sollten immer ein Anlass sein, die Sicherheitskonzeption zu hinterfragen
* Dies sollte offen und sorgfältig geschehen, um Schwachstellen, die einen Vorfall begünstigt haben, identifizieren und beseitigen zu können


Informationssicherheit ist darüber hinaus kein einmalig herzustellender und anschließend stabiler Zustand, sondern ein '''stetiger Prozess''', der immer wieder an sich wandelnde und neue Herausforderungen angepasst werden muss.
; Zweckmäßige Verfahren
Zwei zweckmäßige Verfahren, mit den Sie Ihr Sicherheitskonzept und das erreichte Schutzniveau prüfen können, sind die -Revision und der Cyber-Sicherheits-Check:
* Mit einer '''Informationssicherheitsrevision (-Revision)''' können Sie nach einem festgelegten Verfahren und von kompetenten Revisoren überprüfen lassen, ob das Sicherheitskonzept Ihrer Institution wie beabsichtigt umgesetzt ist und es nach wie vor den aktuellen Anforderungen gerecht wird.
* Die -Revision liefert sowohl den Verantwortlichen für Informationssicherheit als auch der Leitung einer Institution belastbare Informationen über den aktuellen Zustand der Informationssicherheit.  


In dieser Lektion lernen Sie Verfahren kennen, mit denen Sie '''Angemessenheit und Wirksamkei'''t der technischen und organisatorischen Maßnahmen für Informationssicherheit in Ihrer Institution '''kontinuierlich überwachen''' '''und verbessern''' können. Sie erfahren,
; Kurz-, Querschnitts- und Partialrevision
* wie Sie den '''Umsetzungsstand''' der im Sicherheitskonzept vorgesehenen Maßnahmen prüfen,
* Neben einer umfassenden Prüfung, die auf die vollständige und vertiefte Überprüfung der Informationssicherheit in einer Institution abhebt, gibt es mit der Kurz-, Querschnitts- und Partialrevision Varianten, bei denen Tiefe und Umfang der Prüfung begrenzt sind.
* wie Sie bei der Überprüfung der '''Wirksamkeit''' der Maßnahmen vorgehen sollten,
* wie Sie die Erkenntnisse aus den Überprüfungen in '''Maßnahmen zur Verbesserung''' Ihres Informationssicherheitsmanagements überführen,
* wie Ihnen '''Kennzahlen''' bei der Bewertung einzelner Aspekte der Informationssicherheit helfen können,
* was unter einem '''Reifegradmodell''' der Informationssicherheit zu verstehen ist und welchen Nutzen Sie daraus ziehen können sowie
* wie Sie Dritten Ihr gutes Sicherheitsniveau mit einem '''27001-Zertifikat auf Basis von -Grundschutz''' nachweisen können.


== Leitfragen für die Überprüfung ==
; Cyber-Sicherheits-Check
Wenn Sie noch wenig Erfahrung mit diesem Thema haben, kann der '''Cyber-Sicherheits-Check''' eine wichtige Hilfe bei der Überprüfung des Sicherheitsniveaus Ihrer Institution sein.
* Er gibt ihnen Hinweise zur Anfälligkeit gegen Cyberangriffe und ist so angelegt, dass die regelmäßige Durchführung das Risiko verringert, zum Opfer solcher Angriffe zu werden.
 
; Vorgehensmodell IT-Revision
Für die Durchführung der IT-Revision hat das BSI ein eigenes Vorgehensmodell entwickelt, das im [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/ISRevision/Leitfaden_IS-Revision-v4.html Leitfaden -Revision] beschrieben ist.
* Dort erfahren Sie auch mehr zu Prüfumfang und -tiefe sowie Einsatzzweck der unterschiedlichen Varianten des Verfahrens.
 
==== Geschäftsprozess ====
* Name
* Prozess-Owner
* Trigger
 
==== Vorarbeiten ====
; [[Realisierungsplan]] enthält [[Maßnahmen]] des [[Sicherheitskonzepts]]
* Bis wann werden [[Maßnahmen]] von wem wie umgesetzt
* Erforderliche Ressourcen
* Zwischentermine
* Begleitende Maßnahmen
 
; Regelmäßige Kontrollen
* Sicherstellen, dass alles wie geplant umgesetzt ist und funktioniert
 
; Stetiger Prozess
Informationssicherheit ist kein einmalig herzustellender und anschließend stabiler Zustand, sondern ein '''stetiger Prozess''', der immer wieder an sich wandelnde und neue Herausforderungen angepasst werden muss.
 
; '''Angemessenheit und Wirksamkeit''' der technischen und organisatorischen Maßnahmen für Informationssicherheit in Ihrer Institution '''kontinuierlich überwachen''' '''und verbessern'''
* '''Umsetzungsstand''' der im Sicherheitskonzept vorgesehenen Maßnahmen prüfen
* Vorgehen bei der Überprüfung der '''Wirksamkeit''' von Maßnahmen
* Erkenntnisse der Prüfungen in '''Maßnahmen zur Verbesserung''' Ihres Informationssicherheitsmanagements überführen
* '''Kennzahlen''' können bei der Bewertung einzelner Aspekte der Informationssicherheit helfen
* '''Reifegradmodell''' nutzen
* Sicherheitsniveau nachweisen (27001-Zertifikat auf Basis von IT-Grundschutz)
 
==== Leitfragen ====
; Leitfragen für die Überprüfung
Um sicherzustellen, dass die Maßnahmen des Sicherheitskonzepts immer den Anforderungen entsprechen, müssen sie kontinuierlich überprüft werden.
Um sicherzustellen, dass die Maßnahmen des Sicherheitskonzepts immer den Anforderungen entsprechen, müssen sie kontinuierlich überprüft werden.


[[Image:Abb_9_01_Zyklus.png?__blob=normal&v=1Bild2.png|top|alt="Zyklus der Informationssicherheit"]]
; Überprüfungen sollten sich an folgenden Leitfragen orientieren
{| class="wikitable sortable"
|-
! Frage !! Beschreibung
|-
| '''Welche Ziele der Informationssicherheit sind''' '''aktuell''' '''vordringlich?''' || '''Die Bedeutung von Sicherheitszielen kann sich im Zeitablauf verändern'''
* So kann es wichtiger werden, die Vertraulichkeit von Informationen zu schützen, wenn sich gesetzliche Rahmenbedingungen ändern oder aber die Institution mit Daten arbeitet, die dies verstärkt erfordern.
* Alle Maßnahmen zur Erhaltung der Vertraulichkeit müssen daher besonders sorgfältig geprüft werden.
* Eine weitere wichtige Frage ist, ob die gewählten Sicherheitsmaßnahmen noch der Gefährdungslage entsprechen.
* Auch ist zu prüfen, ob neue technische Verfahren einen effizienteren und wirksameren Schutz bieten können.
|-
|'''Wer ist verantwortlich für die Überwachung des Informationssicherheitsprozesses? || '''Häufig ist die Institution so komplex, dass der nicht alle Überprüfungen leiten und durchführen kann.
* Dann ist es wichtig, dass für verschiedene Bereiche Personen benannt sind, die diese Maßnahmen konzipieren, umsetzen, Ergebnisse dokumentieren sowie Verbesserungen planen und steuern.
* Bei einer solchen verteilten Verantwortung ist eine gute Zusammenarbeit mit dem wichtig, der über alle Schritte informiert werden muss.
|-
| '''Wie häufig sind die Verfahren zu überprüfen? || '''Für weniger wichtige Schutzmechanismen kann eine Überprüfung seltener erfolgen als für kritische Prozesse.
* Mindestens einmal pro Jahr muss das Sicherheitskonzept darauf überprüft werden, ob es noch effektiv ist, also den Zielen der Informationssicherheit im Unternehmen oder der Behörde entspricht.
* Wenn es einen Sicherheitsvorfall gegeben hat, sollte dies Anlass für eine zusätzliche Prüfung sein.
|}
 
; Umsetzungshinweise
ISMS.1.M11: ''Aufrechterhaltung der Informationssicherheit''
* Empfehlungen zur Vorgehensweise bei der Überprüfung des Sicherheitsprozesses


Diese Überprüfungen sollten sich an folgenden Leitfragen orientieren:
=== Informationssicherheitsprozess ===
* '''Welche Ziele der Informationssicherheit sind''' '''aktuell''' '''vordringlich?'''Die Bedeutung von Sicherheitszielen kann sich im Zeitablauf verändern. So kann es wichtiger werden, die Vertraulichkeit von Informationen zu schützen, wenn sich gesetzliche Rahmenbedingungen ändern oder aber die Institution mit Daten arbeitet, die dies verstärkt erfordern. Alle Maßnahmen zur Erhaltung der Vertraulichkeit müssen daher besonders sorgfältig geprüft werden. Eine weitere wichtige Frage ist, ob die gewählten Sicherheitsmaßnahmen noch der Gefährdungslage entsprechen. Auch ist zu prüfen, ob neue technische Verfahren einen effizienteren und wirksameren Schutz bieten können.
; Überprüfung des Informationssicherheitsprozesses ist unabdingbar
* '''Wer ist verantwortlich für die Überwachung des Informationssicherheitsprozesses?'''Häufig ist die Institution so komplex, dass der nicht alle Überprüfungen leiten und durchführen kann. Dann ist es wichtig, dass für verschiedene Bereiche Personen benannt sind, die diese Maßnahmen konzipieren, umsetzen, Ergebnisse dokumentieren sowie Verbesserungen planen und steuern. Bei einer solchen verteilten Verantwortung ist eine gute Zusammenarbeit mit dem wichtig, der über alle Schritte informiert werden muss.
* Fehler und Schwachstellen erkennen und abstellen
* '''Wie häufig sind die Verfahren zu überprüfen?'''Für weniger wichtige Schutzmechanismen kann eine Überprüfung seltener erfolgen als für kritische Prozesse. Mindestens einmal pro Jahr muss das Sicherheitskonzept darauf überprüft werden, ob es noch effektiv ist, also den Zielen der Informationssicherheit im Unternehmen oder der Behörde entspricht. Wenn es einen Sicherheitsvorfall gegeben hat, sollte dies Anlass für eine zusätzliche Prüfung sein.
* Effizienz des IS-Prozesses optimieren


Die Umsetzungshinweise in ISMS.1.M11: ''Aufrechterhaltung der Informationssicherheit'' geben wichtige Empfehlungen zur Vorgehensweise bei der Überprüfung des Sicherheitsprozesses.
; Verbesserung der Praxistauglichkeit
* Strategie
* Maßnahmen
* Organisatorische Abläufe


== Überprüfungsverfahren ==
==== Methoden zur Überprüfung ====
Es gibt eine Reihe von bewährten Verfahren, mit denen Sie die Effizienz und Effektivität Ihrer Vorkehrungen für Informationssicherheit prüfen können, angefangen mit der Abarbeitung einfacher Checklisten und der punktuellen Prüfung der Netzsicherheit mittels Penetrationstests bis hin zu umfassenden Prüfungen der Angemessenheit und Wirksamkeit der umgesetzten technischen und organisatorischen Schutzmaßnahmen.
; Zur Effizienzprüfung und Verbesserung sollten Verfahren und Mechanismen eingerichtet werden
* Realisierung der beschlossenen Maßnahmen prüfen
* deren Wirksamkeit und Effizienz überprüfen


Grundsätzlich gilt, dass umfassende Prüfungen in '''regelmäßigen Intervallen''' (jährlich bis maximal drei Jahre) durchgeführt werden sollten. Aber auch '''fallweise Prüfungen''' sind zweckmäßig, beispielsweise bei der Änderung von Geschäftsprozessen und insbesondere nach Sicherheitsvorfällen.
; Informationssicherheitsstrategie sollte Leitaussagen zur Messung der Zielerreichung machen


'''Sicherheitsvorfälle''' sollten immer ein Anlass sein, die Sicherheitskonzeption zu hinterfragen. Dies sollte offen und sorgfältig geschehen, um Schwachstellen, die einen Vorfall begünstigt haben, identifizieren und beseitigen zu können.
; Grundlagen für Messungen
* Detektion, Dokumentation und Auswertung von Sicherheitsvorfällen
* Durchführung von Übungen und Tests zur Simulation von Sicherheitsvorfällen
** Auswertung der Ergebnisse
* interne und externe Audits, Datenschutzkontrollen
* Zertifizierung nach festgelegten Sicherheitskriterien


Zwei zweckmäßige Verfahren, mit den Sie Ihr Sicherheitskonzept und das erreichte Schutzniveau prüfen können, sind die -Revision und der Cyber-Sicherheits-Check:
; Internen Audits zur Erfolgskontrolle der umgesetzten Maßnahmen
* Mit einer '''Informationssicherheitsrevision (-Revision)''' können Sie nach einem festgelegten Verfahren und von kompetenten Revisoren überprüfen lassen, ob das Sicherheitskonzept Ihrer Institution wie beabsichtigt umgesetzt ist und es nach wie vor den aktuellen Anforderungen gerecht wird. Die -Revision liefert sowohl den Verantwortlichen für Informationssicherheit als auch der Leitung einer Institution belastbare Informationen über den aktuellen Zustand der Informationssicherheit. Neben einer umfassenden Prüfung, die auf die vollständige und vertiefte Überprüfung der Informationssicherheit in einer Institution abhebt, gibt es mit der Kurz-, Querschnitts- und Partialrevision Varianten, bei denen Tiefe und Umfang der Prüfung begrenzt sind.
* nicht durch denjenigen durchführen, der die Sicherheitskonzeption entwickelt hat
* Externe Experten mit der Durchführung solcher Prüfungsaktivitäten beauftragen
Aufwand von Audits
* hängt von der Komplexität und Größe des Informationsverbunds ab
* Anforderungen auch für kleine Institutionen geeignet
 
; Kleinen Einrichtungen
In kleinen Institutionen eventuell ausreichend
* Jährlicher technischer Check von IT-Systemen
* Vorhandene Dokumentationen auf Aktualität prüfen
* Probleme und Erfahrungen mit dem Sicherheitskonzept in Workshop besprechen
 
=== Überprüfung der Umsetzung ===
; Realisierungsplan prüfen
* Aufgabenliste und zeitliche Planung
* Ob und inwieweit dieser eingehalten wurde
 
; Angemessene Ressourcenplanung
* Voraussetzung für die Einhaltung geplanter Sicherheitsmaßnahmen
* Wurden ausreichende finanzielle und personelle Ressourcen zur Verfügung gestellt?
 
; Die Überprüfung dient auch
* Rechtzeitiger Wahrnehmung von Planungsfehlern
* Anpassung der Sicherheitsstrategie, wenn sich diese als unrealistisch erweist
 
; Benutzer-Akzeptanz
; Nach Einführung neuer Sicherheitsmaßnahmen
Akzeptanz bei Nutzern prüfen
 
* Werden neuen Maßnahmen nicht akzeptiert, ist ein Misserfolg vorprogrammiert
 
* Ursachen herauszuarbeiten und abstellen
 
* Oft reicht eine zusätzliche Aufklärung der Betroffenen
 
* Alternativen prüfen
 
=== Sicherheitsrevision ===
; Revision der Informationssicherheit anhand der IT-Grundschutz-Sicherheitsmaßnahmen
* Gleiche Vorgehensweise wie beim Basis-Sicherheitscheck
 
; Arbeitsökonomisch: Angepasste Checkliste erstellen
* für jeden Baustein der IT-Grundschutz-Kataloge
* anhand der Maßnahmentexte
* erleichtert die Revision
* verbessert die Reproduzierbarkeit der Ergebnisse
 
=== Aktualität von Sicherheitszielen ===
==== Rahmenbedingungen und Sicherheitskonzeption ====
; In längeren Perspektiven prüfen
* gesetzte Sicherheitsziele
* Rahmenbedingungen
 
; Anpassung der Sicherheitsleitlinie und der Sicherheitsstrategie
* in schnelllebigen Branchen von elementarer Bedeutung
* Betriebliche Änderungen schon bei ihrer Planungsphase in die Sicherheitskonzeption einbeziehen
* Einsatz neuer IT-Systeme
* Umzug
* organisatorische Änderungen (z. B. Outsourcing)
* Änderungen gesetzlicher Anforderungen
 
; Nach jeder relevanten Änderung aktualisieren
* Sicherheitskonzeption
* dazugehörigen Dokumentation
 
; Im Änderungsprozess der Institution berücksichtigen
* Informationssicherheitsprozess in das Änderungsmanagement der Institution integrieren
 
=== Wirtschaftlichkeitsbetrachtung ===
; Wirtschaftlichkeit sollte unter konstanter Beobachtung bleiben
* Sicherheitsstrategie
* spezifische Sicherheitsmaßnahmen
 
; Kosten für Informationssicherheit sind schwer zu ermitteln
* oft hilfreich, für die weitere Planung: Prüfen, ob
** tatsächlich angefallene Kosten den geplanten entsprechen
** ressourcenschonendere Sicherheitsmaßnahmen eingesetzt werden können
 
; Nutzen herausarbeiten
Ebenso wichtig:
Regelmäßig den Nutzen der vorhandenen Sicherheitsmaßnahmen herausarbeiten
 
=== Rückmeldungen ===
; Rückmeldungen von Internen und Externen
Rückmeldungen über Fehler und Schwachstellen in den Prozessen
* Informationssicherheitsorganisation
* Revision
auch von
* Mitarbeitern
* Geschäftspartnern
* Kunden oder Partnern
Wirksame Vorgehensweise festlegen
* Beschwerden und anderen Rückmeldungen von Internen und Externen verwerten
Beschwerden
* von Kunden oder Mitarbeitern können dabei ein Indikator für Unzufriedenheit sein
 
; Bereits entstehender Unzufriedenheit entgegenwirken!
* bei unzufriedenen Mitarbeitern/Kunden
* Gefahr von Handlungen die den Betrieb stören können
** fahrlässig
** vorsätzlich
 
; Rückmeldungen von Internen und Externen
 
; Umgang mit Beschwerden
* klar definiertes Verfahren
* eindeutig festgelegte Kompetenzen
* für den Umgang mit Beschwerden und für die Rückmeldung von Problemen an die zuständige Instanz
 
; Beschwerden schnellstmöglich beantworten
* damit die Hinweisgeber sich ernst genommen fühlen
 
; Gemeldeten Probleme bewerten
* Handlungsbedarf eingeschätzten
* angemessene Korrekturmaßnahmen zur Beseitigung der Ursachen von Fehlern ergreifen
* erneutes Auftreten verhindern


* Wenn Sie noch wenig Erfahrung mit diesem Thema haben, kann der '''Cyber-Sicherheits-Check''' eine wichtige Hilfe bei der Überprüfung des Sicherheitsniveaus Ihrer Institution sein. Er gibt ihnen Hinweise zur Anfälligkeit gegen Cyberangriffe und ist so angelegt, dass die regelmäßige Durchführung das Risiko verringert, zum Opfer solcher Angriffe zu werden.
=== Informationsfluss ===
==== Informationsfluss im Informationssicherheitsprozess ====
; Im Rahmen der Überprüfung und Verbesserung entstehen
* Berichte
* Audit-Reports
* Ergebnisse von Sicherheitstests
* Meldungen über sicherheitsrelevante Ereignisse
* weitere Dokumente zur Informationssicherheit
Dokumente müssen
* aussagekräftig
* für die jeweilige Zielgruppe verständlich sein
Nicht alle Informationen sind für die Leitungsebene geeignet
* es ist eine Aufgabe des IT-Sicherheitsmanagements, diese Informationen
** zu sammeln
** zu verarbeiten
** kurz und übersichtlich aufzubereiten


Für die Durchführung der -Revision hat das ein eigenes Vorgehensmodell entwickelt, das im [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/ISRevision/Leitfaden_IS-Revision-v4.html Leitfaden -Revision] beschrieben ist. Dort erfahren Sie auch mehr zu Prüfumfang und -tiefe sowie Einsatzzweck der unterschiedlichen Varianten des Verfahrens.
==== Berichte ====
; Berichte an die Leitungsebene
; Leitung benötigt Eckpunkte über den Stand der Informationssicherheit
* richtige Entscheidungen bei der Steuerung und Lenkung des Informationssicherheitsprozesses Eckpunkte in Management-Berichten aufbereiten
* Ergebnisse von Audits und Datenschutzkontrollen
* Berichte über Sicherheitsvorfall* Berichte über bisherige Erfolge und Probleme beim Informationssicherheitsprozess IS-Organisation informiert Leitungsebene regelmäßig in angemessener Form
* Ergebnisse der Überprüfungen
* Status des IS-Prozesses
* Probleme
* Erfolge
* Verbesserungsmöglichkeiten


=== Behandlung der Prüfergebnisse ===
; Leitungsebene nimmt Management-Berichte zur Kenntnis und veranlasst notwendige Maßnahmen
Die '''Ergebnisse''' aller Überprüfungen müssen '''dokumentiert''' und der '''Leitung mitgeteilt''' werden. Diese benötigt insbesondere Informationen über den Stand der Umsetzung, Erfolge und auch Probleme sowie Risiken aufgrund von Umsetzungsmängeln. Bei Abweichungen von der Planung müssen Vorschläge erarbeitet werden, wie diese anzupassen oder die Umsetzung zu korrigieren ist. Gleiches gilt für Vorschläge zur Verbesserung und Weiterentwicklung der Sicherheitsmaßnahmen. Alle Entscheidungen hierzu, auch die Übernahme von Risiken durch eine verzögerte Umsetzung von Maßnahmen, müssen dokumentiert werden.


Standard-Anforderungen, die Berichte an die Leitungsebene erfüllen SOLLTEN, werden im Baustein ISMS.1 ''Sicherheitsmanagement'' des -Grundschutz-Kompendiums unter ISMS.1.A12 ''Management-Berichte zur Informationssicherheit'' beschrieben.
; Berichte an die Leitungsebene


== Kennzahlen ==
=== Dokumentation ===
Kennzahlen können als '''Indikator für die Güte''' des gesamten Sicherheitsprozesses oder einzelner Teilprozesse und -aspekte dienen. Sie sind ein bewährtes Instrument in der Kommunikation mit der Leitung einer Institution über Erfolge, aber auch Probleme der Informationssicherheit.
Dokumentation im Informationssicherheitsprozess


Die folgende Tabelle enthält für verschiedene Schichten des -Grundschutz-Kompendiums ein Beispiel für eine mögliche Kennzahl. Diese Beispiele zeigen auch, dass mit Kennzahlen sowohl technische als auch organisatorische Aspekte der Informationssicherheit erfasst werden können.
; Entscheidend für Erfolg
Dokumentation des IS-Prozesses auf allen Ebenen


Kennzahlen zur Informationssicherheit
; Nur durch ausreichende Dokumentation
* werden getroffene Entscheidungen nachvollziehbar
* sind Prozesse wiederholbar und standardisierbar
* können Schwächen und Fehler erkannt und zukünftig vermieden werden


{|
; Abhängig vom Gegenstand und vom Verwendungszweck der Dokumentation
|-
* Technische Dokumentation und Dokumentation von Arbeitsabläufen
! | Baustein
* Anleitungen für Mitarbeiter
! | Anforderung
* Aufzeichnung von Management-Entscheidungen
! | Kennzahl
* Gesetze und Regelungen
|-
|| ISMS.1 ''Sicherheitsmanagement''
|| Die Leitungsebene SOLLTE regelmäßig über den Stand der Informationssicherheit informiert werden.
|| Anzahl der Leitungsmeetings mit Sicherheitsreport / Anzahl aller Leitungsmeetings
|-
|| ORP.2 ''Personal''
|| Aufgaben und Zuständigkeiten von Mitarbeitern SOLLTEN in geeigneter Weise dokumentiert sein.
|| Anzahl der Mitarbeiterverträge mit Verpflichtung zur sicheren Handhabung von Informationen / Anzahl aller Mitarbeiterverträge
|-
|| CON.3 ''Datensicherungskonzept''
|| Die Datensicherung und ein möglicherweise vorzunehmender Restore SOLLTEN regelmäßig getestet werden.
|| Anzahl erfolgreicher Tests / Gesamtzahl der Tests zur Wiederherstellung gesicherter Daten
|-
|| OPS.1.1.2 ''Ordnungsgemäße IT-Administration''
|| Die Befugnisse, Aufgaben und Pflichten der -Administratoren SOLLTEN in einer Arbeitsanweisung oder Richtlinie verbindlich festgeschrieben werden.
|| Anzahl von Arbeitsanweisungen / Anzahl aller Administratoren
|-
|| DER.1 ''Detektion von sicherheitsrelevanten Ereignissen''
|| Die gesammelten Ereignismeldungen der -Systeme und Anwendungssysteme SOLLTEN auf einer zentralen Protokollinfrastruktur aufbewahrt werden.
|| Anzahl zentral gesammelter Ereignismeldungen / Anzahl aller Ereignismeldungen
|-
|| APP.1.1 ''Office-Produkte''
|| Neue Office-Produkte SOLLTEN vor dem Einsatz auf Kompatibilität mit etablierten Arbeitsmitteln getestet werden.
|| Anzahl der eingesetzten getesteten Office-Produkte / Anzahl aller eingesetzten Office-Produkte
|-  
|| SYS.1.1 Allgemeiner Server
|| Ablauf, Rahmenbedingungen und Anforderungen an administrative Aufgaben sowie die Aufgabentrennungen zwischen den verschiedenen Rollen der Benutzer des -Systems SOLLTEN in einem Benutzer- und Administrationskonzept festgeschrieben werden.
|| Anzahl von Servern mit detailliertem Administrationskonzept / Anzahl aller Server
|-
|}


Diese Beispiele verdeutlichen, dass für eine umfassende Bewertung der Informationssicherheit eine Vielzahl an Kennzahlen nötig ist. Erhebung, Berechnung und Aufbereitung der Kennzahlen erfordern unter Umständen einen sehr hohen Aufwand, wobei technische Kennzahlen oft automatisiert erhoben werden können und damit der bei ihnen anfallende Aufwand meist geringer ist als bei organisatorischen Kennzahlen.
; Technische Dokumentation Arbeitsabläufen
; Zielgruppe: Experten


Damit der Aufwand in einem angemessenen Verhältnis zum Ergebnis steht, ist es wichtig, dass die Ziele der Kennzahlen klar formuliert und der erforderliche Aufwand für die Erhebung der Messwerte gut abgeschätzt werden. Wenn Sie planen, in Ihrer Institution Kennzahlen zur Informationssicherheit einzuführen, empfiehlt es sich, zunächst mit wenigen Kennzahlen zu starten und diese dann mit Hilfe der gewonnenen Erfahrungen Schritt für Schritt zu ergänzen.
; Aktuellen Stand beschreiben
* Geschäftsprozessen
* damit verbundener IT-Systeme und Anwendungen


== Reifegradmodelle ==
; Detaillierungsgrad technischer Dokumentationen
Einen sehr umfassenden Blick auf die Qualität des Informationssicherheitsprozesses können Sie mit Hilfe eines Reifegradmodells erhalten. Hierzu muss das über Jahre hinweg analysiert und bewertet werden. Der Maßstab für die „Reife“ des gesamten oder aber auch von Teilen hiervon ist der '''Grad der Strukturierung und der systematischen Steuerung''' des Prozesses.
* andere Personen mit vergleichbarer Expertise sollen die Dokumentation nachvollziehen können
* Ein Administrator soll zwar auf sein Wissen, aber nicht auf sein Gedächtnis angewiesen sein, um die Systeme und Anwendungen wiederherzustellen


Folgende Tabelle zeigt ein Beispiel für die '''Definition von Reifegraden:'''
; Dazu gehörten z.B.
* Installations- und Konfigurationsanleitungen
* Anleitungen für den Wiederanlauf nach einem Sicherheitsvorfall
* Dokumentation von Test- und Freigabeverfahren
* Anweisungen für das Verhalten bei Störungen und Sicherheitsvorfällen


Reifegrade und ihre Merkmale
; Bei Sicherheitsübungen und bei Behandlung von Sicherheitsvorfällen
* Qualität der vorhandenen Dokumentationen bewerten
* gewonnene Erkenntnisse zur Verbesserung nutzen


{|
; Anleitungen für Mitarbeiter
|-
Zielgruppe: Mitarbeiter
! | Reifegrad
! | Kennzeichen
|-
|| 0
|| Es existiert kein Prozess, es gibt auch keine Planungen hierzu.
|-
|| 1
|| Es gibt Planungen zur Etablierung eines Prozesses, jedoch keine Umsetzungen.
|-
|| 2
|| Teile des Prozesses sind umgesetzt, es fehlt jedoch an systematischer Dokumentation.
|-
|| 3
|| Der Prozess ist vollständig umgesetzt und dokumentiert.
|-
|| 4
|| Der Prozess wird darüber hinaus auch regelmäßig auf Effektivität überprüft.
|-
|| 5
|| Zusätzlich sind Maßnahmen zur kontinuierlichen Verbesserung vorhanden.
|-
|}


Ziel der Anwendung eines Reifegradmodells ist es, die Qualität aller Teilbereiche des zu erhöhen. Durch regelmäßige Analysen können Sie überprüfen, welche Prozesse noch unzureichend gesteuert sind. Die folgende Grafik stellt beispielhaft die erreichten Reifegrade verschiedener Themenfelder in einer Institution dar. Dort wo der Reifegrad niedrig ist, besteht ein besonderer Handlungsbedarf. Reifegradmodelle können folglich dabei unterstützen, Schwerpunkte für die Weiterentwicklung eines zu setzen.
; Sicherheitsmaßnahmen in Form von Richtlinien dokumentieren
* für die Mitarbeiter verständlich
Mitarbeiter müssen informiert und geschult sein
* Existenz und Bedeutung dieser Richtlinien


[[Image:Abb_9_04_Reifegrade.png?__blob=normal&v=1Bild3.png|top|alt="Beispiel für ein Reifegradmodell"]]
; Dazu gehört
* Arbeitsabläufe und organisatorische Vorgaben
* Richtlinien zur Nutzung des Internets
* Verhalten bei Sicherheitsvorfällen


== IT-Grundschutz-Zertifizierung ==
; Entscheidungen aufzeichnen
Allgemein anerkannte Zertifikate setzen '''Maßstäbe''' und schaffen '''Vertrauen'''. Auch im Bereich der Informationssicherheit sind verlässliche Standards wünschenswert, die den Anwendern Orientierung zur Sicherheit von Produkten, Systemen und Verfahren bieten. Daher gibt es bereits seit vielen Jahren international anerkannte Kriterienwerke, auf deren Grundlage die Sicherheitseigenschaften von Produkten und Systemen durch unabhängige Zertifizierungsstellen bestätigt werden können.
* Informationssicherheitsprozess
* Sicherheitsstrategie
* jederzeit verfügbar
* nachvollziehbar
* wiederholbar


Das ''' 27001-Zertifikat auf Basis von -Grundschutz''' belegt in besonderer Weise das Bemühen um Informationssicherheit, da Grundlage für die Vergabe nicht nur die Erfüllung der allgemeinen Anforderungen der Norm 27001 an das Sicherheitsmanagement ist, sondern auch die nachgewiesene Umsetzung der wesentlich konkreteren Anforderungen des -Grundschutzes.
; Gesetze und Regelungen
Zielgruppe: Leitungsebene


Die Zertifizierung des Managements für Informationssicherheit kann für '''unterschiedliche Zielgruppen''' interessant sein, zum Beispiel für
; Für Informationsverarbeitung sind viele unterschiedliche relevant
* Anbieter im E-Commerce oder E-Government, die verdeutlichen wollen, dass sie sorgfältig und sicherheitsbewusst mit den Daten der Kunden und Bürger umgehen,
* Gesetze
* -Dienstleister, die mit einem allgemein anerkannten Maßstab die Sicherheit ihrer Dienstleistungen belegen wollen,
* Regelungen
* Unternehmen und Behörden, die mit anderen Einrichtungen kooperieren wollen und Informationen über deren Sicherheitsniveau wünschen.
* Anweisungen
* Verträge


Ein Zertifizierungsverfahren wirkt aber auch '''nach innen''': Es trägt dazu bei, das Bewusstsein der Mitarbeiter für die Notwendigkeit von Informationssicherheit zu stärken, und erleichtert dadurch die Umsetzung erforderlicher Sicherheitsmaßnahmen.
; Besondere Anforderungen sollten dokumentiert werden
* welche konkreten Konsequenzen ergeben sich daraus
** Geschäftsprozesse
** IT-Betrieb
** Informationssicherheit


=== Der Zertifizierungsprozess ===
; Aktuellen Stand der Dokumentationen sicherstellen
Voraussetzung für die Vergabe eines ISO 27001-Zertifikats auf Basis von -Grundschutz ist der Nachweis, dass ein den Anforderungen der Norm entsprechendes '''Informationssicherheitsmanagement''' eingerichtet ist und die '''-Grundschutz-Anforderungen''' wirksam erfüllt sind. Gegenstand der Zertifizierung muss dabei nicht die gesamte Institution sein. Der betrachtete Informationsverbund kann sich auch auf einzelne Geschäftsprozesse, Fachaufgaben oder Organisationseinheiten beschränken. Diese müssen jedoch sinnvoll abgegrenzt sein und eine gewisse Mindestgröße haben.
* Dafür muss die Dokumentation in den Änderungsprozess einbezogen werden


Die folgende Abbildung veranschaulicht den '''Zertifizierungsprozess''':
=== Informationsfluss und Meldewege ===
; Richtlinie zum Informationsfluss und Meldewegen
Grundsätzliche Festlegungen
* Hol- und Bringschuld


[[Image:Abb_9_05_Zertifizierungsprozess.png?__blob=normal&v=1Bild5.png|top|alt="ISO 27001-Zerifizierung auf Basis von IT-Grundschutz - Zertifizierungsprozess"]]
; Kommunikationsplan
* Wer? Wem? Was? Wann? Bis wann? Form? Feedback bis?
* von der Leitungsebene verabschieden lassen


Für den Nachweis, dass die Anforderungen erfüllt sind, ist ein Audit durch einen unabhängigen, vom anerkannten Auditor erforderlich. Jedes Audit setzt sich grundsätzlich aus zwei getrennten, aufeinander aufbauenden Phasen zusammen:
; Aktualisierung der Meldewege
* '''Phase 1''' umfasst eine '''Dokumentenprüfung''' der so genannten Referenzdokumente des Antragstellers. Dazu zählen neben den geltenden Sicherheitsrichtlinien (Leitlinie zur Informationssicherheit, Richtlinien zur Risikoanalyse, Richtlinie zur internen -Auditierung) und dem Risikobehandlungsplan insbesondere auch die Ergebnisdokumente der verschiedenen Phasen der Sicherheitskonzeption (Strukturanalyse, Schutzbedarfsfeststellung, Modellierung, -Grundschutz-Check, Risikoanalyse, Realisierungsplanung).
* Festlegungen für den Informationsfluss
* In '''Phase 2''' folgt die '''Umsetzungsprüfung''' durch den Auditor, bei der die Vollständigkeit, Korrektheit, und Wirksamkeit der in den Referenzdokumenten beschriebenen Maßnahmen sowie deren Konformität zu den Anforderungen von 27001 und -Grundschutz im Fokus stehen.
* Zeitnahe Aktualisierung von elementarer Bedeutung für die Aufrechterhaltung des Informationssicherheitsprozesses Verbesserung des Informationsflusses
* Ergebnisse aus Übungen, Tests und Audits sind nützliche Grundlage für die Verbesserung des Informationsflusses


Ein Zertifikat wird nur erteilt, wenn der Auditbericht ein positives Gesamtvotum aufweist und durch die Zertifizierungsstelle akzeptiert wurde. Im Rahmen einer Prüfbegleitung wird der Auditbericht gegen die Vorgaben des vom veröffentlichen Zertifizierungsschemas geprüft.
; Synergieeffekten für den Informationsfluss


Ein erteiltes Zertifikat ist '''drei Jahre lang gültig''' und muss in diesem Zeitraum durch ein '''jährliches Überwachungsaudit''' bestätigt werden.
; Oft sind bereits Prozesse für den IT-Support definiert Synergieeffekte nutzen
Meldewege für IT-Sicherheitsvorfälle können in den IT-Support integriert werden
* Kapazitätsplanung um Aspekte der Notfallvorsorge erweitert werden
* Viele Informationen, die aus Sicherheitsgründen erhoben werden, können auch zu anderen Zwecken genutzt werden Sicherheitsmaßnahmen haben positive Nebeneffekte
* besonders Optimierung von Prozessen ist für viele Bereiche relevant
** Bestimmung von Informationseigentümern
** Einstufung von Informationen nach einheitlichen Bewertungskriterien Überblick über die Abhängigkeit
* der Geschäftsprozesse von IT-Systemen und Anwendungen
* ist nicht nur für das Sicherheitsmanagement sinnvoll
* exakte Zuordnung von IT-Kosten, auf einzelne Geschäftsprozesse


Das der 27001-Zertifizierung auf Basis von -Grundschutz zugrunde liegende Zertifizierungsschema, Hinweise zu den erforderlichen Referenzdokumenten und alle weiteren wichtigen Informationen zum Thema finden Sie in einem [https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Zertifizierung-und-Anerkennung/Zertifizierung-von-Managementsystemen/ISO-27001-Basis-IT-Grundschutz/iso-27001-basis-it-grundschutz_node.html eigenen Unterthema] gebündelt auf der Website des .
=== IT-Grundschutz-Zertifizierung ===
[[IT-Grundschutz/Zertifizierung]]


<noinclude>
<noinclude>
== Anhang ==
=== Siehe auch ===
{{Special:PrefixIndex/{{BASEPAGENAME}}}}
==== Sicherheit ====
==== Dokumentation ====


==== Links ====
== Bewertung ==
===== Einzelnachweise =====
 
<references />
=== Kennzahlen ===
===== Projekt =====
{{:IT-Grundschutz/Kennzahlen}}
===== Weblinks =====
 
=== Reifegradmodelle ===
[[Reifegrad]]
 
== Behandlung von Prüfergebnisse ==
Die '''Ergebnisse''' aller Überprüfungen müssen '''dokumentiert''' und der '''Leitung mitgeteilt''' werden.
* Diese benötigt insbesondere Informationen über den Stand der Umsetzung, Erfolge und auch Probleme sowie Risiken aufgrund von Umsetzungsmängeln.
* Bei Abweichungen von der Planung müssen Vorschläge erarbeitet werden, wie diese anzupassen oder die Umsetzung zu korrigieren ist.
* Gleiches gilt für Vorschläge zur Verbesserung und Weiterentwicklung der Sicherheitsmaßnahmen.
* Alle Entscheidungen hierzu, auch die Übernahme von Risiken durch eine verzögerte Umsetzung von Maßnahmen, müssen dokumentiert werden.
 
Standard-Anforderungen, die Berichte an die Leitungsebene erfüllen SOLLTEN, werden im Baustein ISMS.1 ''Sicherheitsmanagement'' des -Grundschutz-Kompendiums unter ISMS.1.A12 ''Management-Berichte zur Informationssicherheit'' beschrieben.
 
== Übernahme der Ergebnisse ==
Übernahme der Ergebnisse in den Informationssicherheitsprozess
; Ergebnisse der Erfolgskontrolle notwendig für Verbesserung des IS-Prozesses
Es kann sich herausstellen, dass
* Sicherheitsziele,
* Sicherheitsstrategie oder
* Sicherheitskonzept
geändert und die Sicherheitsorganisation angepasst werden sollten.


[[Kategorie:Grundschutz/Aufrechterhaltung und Verbesserung]]
; Unter Umständen sinnvoll
* grundlegende Änderungen an der IT-Umgebung
* Geschäftsprozesse verändern
** z. B. wenn Sicherheitsziele unter den bisherigen Rahmenbedingungen nicht oder
** nur umständlich (also mit hohem finanziellen oder personellen Aufwand)
* erreicht werden können.


== Test ==
; Management-Kreislauf schließt sich
=== Frage 1: ===
* größere Veränderungen vorgenommen und umfangreiche Verbesserungen
Warum sollten Sie Ihr Sicherheitskonzept regelmäßig überprüfen?
* neue Planungsphase beginnen
# weil sich die Gefährdungslage ändert '''[richtig]'''
# weil sich die Prozesse und Strukturen einer Institution ändern '''[richtig]'''
# weil sich die Zielsetzungen und Prioritäten einer Institution ändern '''[richtig]'''
# weil die -Sicherheitsbranche ständig neuen Trends unterliegt


=== Frage 2: ===
Überprüfungen von geeigneten Personen durchführen lassen
Welche Kriterien sollten Sie bei der Überprüfung Ihres Sicherheitskonzepts berücksichtigen?
* Kompetenz
# die Aktualität des Sicherheitskonzepts '''[richtig]'''
* Unabhängigkeit
# den Umfang des Sicherheitskonzepts
Vollständigkeits- und Plausibilitätskontrollen
# die Akzeptanz des Sicherheitskonzepts bei der Leitung der Institution
* sollten nicht durch die Ersteller der Konzepte durchgeführt werden.
# die Vollständigkeit des Sicherheitskonzepts '''[richtig]'''


=== Frage 3: ===
; Vorgehensweise zur Überprüfung und Verbesserung
Welche Vorteile bieten Reifegradmodelle für die Bewertung eines?
* in Richtlinie dokumentieren
# Mit einem Reifegradmodell können der Grad der Strukturiertheit und das Maß der systematischen Steuerung eines Prozesses bewertet werden. '''[richtig]'''
* von der Leitungsebene verabschieden lassen
# Die Anwendung eines Reifegradmodells ist Voraussetzung für den Erwerb eines -Grundschutz-Zertifikats.
In der Richtlinie zur Überprüfung und Verbesserung sollte geregelt werden,
# Ein Reifegradmodell kann auf Teilaspekte des angewendet werden und Defizite bei einzelnen Prozessen abbilden. '''[richtig]'''
* wie interne Audits im Bereich der Informationssicherheit durchzuführen sind und
# Durch Anwendung eines Reifegradmodells wird eine zentrale Forderung der Norm 27001 erfüllt.
* wie die Ergebnisse in den Änderungsprozess einfließen.


=== Frage 4: ===
; Prüfergebnisse und -berichte sind
Welche Voraussetzungen müssen für den Erwerb eines 27001-Zertifikats auf der Basis von -Grundschutz erfüllt sein?
* im Allgemeinen als hochvertraulich zu betrachten und
# ausschließlich die in einem Audit nachgewiesene Erfüllung der Basis-Anforderungen
* müssen besonders gut geschützt werden.
# die durch Sichtung von Dokumenten und Vor-Ort-Prüfungen begründete Feststellung der erfolgreichen Erfüllung der -Grundschutz-Anforderungen durch einen zertifizierten Auditor '''[richtig]'''
# ein positives Resultat bei der Überprüfung des Audit-Berichts durch das '''[richtig]'''
# die Unterschrift eines zertifizierten Auditors unter die Selbsterklärung einer Institution, dass sie die -Grundschutz-Anforderungen umfassend erfüllt hat


=== Frage 5: ===
== Anhang ==
Welche der folgenden Untersuchungen haben die systematische Überprüfung der Informationssicherheit in einer Institution zum Ziel?
=== Siehe auch ===
# die Auswertung von -Sicherheitsvorfällen
{{Special:PrefixIndex/{{BASEPAGENAME}}}}
# Penetrationstests
==== Links ====
# die -Sicherheitsrevision '''[richtig]'''
===== Weblinks =====
# ein Audit im Rahmen einer 27001-Zertifizierung auf der Basis von -Grundschutz '''[richtig]'''


=== Frage 6: ===
[[Kategorie:IT-Grundschutz/Verbesserungsprozess]]
Was sollte vor der Einführung einer Kennzahl zur Informationssicherheit unbedingt festgelegt werden?
[[Kategorie:Geschäftsprozess]]
# welches Ziel mit der Kennzahl verfolgt werden soll '''[richtig]'''
<noinclude>
# mit welchen Stilmitteln positive und negative Ergebnisse gekennzeichnet werden sollen
# mit welchem Verfahren die Werte eine Kennzahl erhoben werden '''[richtig]'''
# wie die Ergebnisse vor der Leitung der Institution verborgen werden können

Aktuelle Version vom 31. Oktober 2024, 13:37 Uhr

IT-Grundschutz Verbesserungsprozess - Aufrechterhaltung und Verbesserung

Beschreibung

Verfahren Beschreibung
Informationssicherheitsprozess prüfen
Umsetzung prüfen
Sicherheitsrevision
Sicherheitszielen prüfen Aktualität von Sicherheitszielen
Übernahme der Ergebnisse in den Informationssicherheitsprozess
Informationsfluss
Zertifizierung
Effizienz und Effektivität der Vorkehrungen
Informationssicherheit prüfen
  • Abarbeitung einfacher Checklisten
  • Punktuelle Prüfung der Netzsicherheit mittels Penetrationstests
Umfassenden Prüfung
  • Angemessenheit und Wirksamkeit umgesetzter Schutzmaßnahmen (technisch und organisatorisch)
Regelmäßige Intervalle

Grundsätzlich gilt, dass umfassende Prüfungen in regelmäßigen Intervallen (jährlich bis maximal drei Jahre) durchgeführt werden sollten.

Sicherheitsvorfall
  • Aber auch fallweise Prüfungen sind zweckmäßig, beispielsweise bei der Änderung von Geschäftsprozessen und insbesondere nach Sicherheitsvorfällen.
Sicherheitsvorfälle
  • sollten immer ein Anlass sein, die Sicherheitskonzeption zu hinterfragen
  • Dies sollte offen und sorgfältig geschehen, um Schwachstellen, die einen Vorfall begünstigt haben, identifizieren und beseitigen zu können
Zweckmäßige Verfahren

Zwei zweckmäßige Verfahren, mit den Sie Ihr Sicherheitskonzept und das erreichte Schutzniveau prüfen können, sind die -Revision und der Cyber-Sicherheits-Check:

  • Mit einer Informationssicherheitsrevision (-Revision) können Sie nach einem festgelegten Verfahren und von kompetenten Revisoren überprüfen lassen, ob das Sicherheitskonzept Ihrer Institution wie beabsichtigt umgesetzt ist und es nach wie vor den aktuellen Anforderungen gerecht wird.
  • Die -Revision liefert sowohl den Verantwortlichen für Informationssicherheit als auch der Leitung einer Institution belastbare Informationen über den aktuellen Zustand der Informationssicherheit.
Kurz-, Querschnitts- und Partialrevision
  • Neben einer umfassenden Prüfung, die auf die vollständige und vertiefte Überprüfung der Informationssicherheit in einer Institution abhebt, gibt es mit der Kurz-, Querschnitts- und Partialrevision Varianten, bei denen Tiefe und Umfang der Prüfung begrenzt sind.
Cyber-Sicherheits-Check

Wenn Sie noch wenig Erfahrung mit diesem Thema haben, kann der Cyber-Sicherheits-Check eine wichtige Hilfe bei der Überprüfung des Sicherheitsniveaus Ihrer Institution sein.

  • Er gibt ihnen Hinweise zur Anfälligkeit gegen Cyberangriffe und ist so angelegt, dass die regelmäßige Durchführung das Risiko verringert, zum Opfer solcher Angriffe zu werden.
Vorgehensmodell IT-Revision

Für die Durchführung der IT-Revision hat das BSI ein eigenes Vorgehensmodell entwickelt, das im Leitfaden -Revision beschrieben ist.

  • Dort erfahren Sie auch mehr zu Prüfumfang und -tiefe sowie Einsatzzweck der unterschiedlichen Varianten des Verfahrens.

Geschäftsprozess

  • Name
  • Prozess-Owner
  • Trigger

Vorarbeiten

Realisierungsplan enthält Maßnahmen des Sicherheitskonzepts
  • Bis wann werden Maßnahmen von wem wie umgesetzt
  • Erforderliche Ressourcen
  • Zwischentermine
  • Begleitende Maßnahmen
Regelmäßige Kontrollen
  • Sicherstellen, dass alles wie geplant umgesetzt ist und funktioniert
Stetiger Prozess

Informationssicherheit ist kein einmalig herzustellender und anschließend stabiler Zustand, sondern ein stetiger Prozess, der immer wieder an sich wandelnde und neue Herausforderungen angepasst werden muss.

Angemessenheit und Wirksamkeit der technischen und organisatorischen Maßnahmen für Informationssicherheit in Ihrer Institution kontinuierlich überwachen und verbessern
  • Umsetzungsstand der im Sicherheitskonzept vorgesehenen Maßnahmen prüfen
  • Vorgehen bei der Überprüfung der Wirksamkeit von Maßnahmen
  • Erkenntnisse der Prüfungen in Maßnahmen zur Verbesserung Ihres Informationssicherheitsmanagements überführen
  • Kennzahlen können bei der Bewertung einzelner Aspekte der Informationssicherheit helfen
  • Reifegradmodell nutzen
  • Sicherheitsniveau nachweisen (27001-Zertifikat auf Basis von IT-Grundschutz)

Leitfragen

Leitfragen für die Überprüfung

Um sicherzustellen, dass die Maßnahmen des Sicherheitskonzepts immer den Anforderungen entsprechen, müssen sie kontinuierlich überprüft werden.

Überprüfungen sollten sich an folgenden Leitfragen orientieren
Frage Beschreibung
Welche Ziele der Informationssicherheit sind aktuell vordringlich? Die Bedeutung von Sicherheitszielen kann sich im Zeitablauf verändern
  • So kann es wichtiger werden, die Vertraulichkeit von Informationen zu schützen, wenn sich gesetzliche Rahmenbedingungen ändern oder aber die Institution mit Daten arbeitet, die dies verstärkt erfordern.
  • Alle Maßnahmen zur Erhaltung der Vertraulichkeit müssen daher besonders sorgfältig geprüft werden.
  • Eine weitere wichtige Frage ist, ob die gewählten Sicherheitsmaßnahmen noch der Gefährdungslage entsprechen.
  • Auch ist zu prüfen, ob neue technische Verfahren einen effizienteren und wirksameren Schutz bieten können.
Wer ist verantwortlich für die Überwachung des Informationssicherheitsprozesses? Häufig ist die Institution so komplex, dass der nicht alle Überprüfungen leiten und durchführen kann.
  • Dann ist es wichtig, dass für verschiedene Bereiche Personen benannt sind, die diese Maßnahmen konzipieren, umsetzen, Ergebnisse dokumentieren sowie Verbesserungen planen und steuern.
  • Bei einer solchen verteilten Verantwortung ist eine gute Zusammenarbeit mit dem wichtig, der über alle Schritte informiert werden muss.
Wie häufig sind die Verfahren zu überprüfen? Für weniger wichtige Schutzmechanismen kann eine Überprüfung seltener erfolgen als für kritische Prozesse.
  • Mindestens einmal pro Jahr muss das Sicherheitskonzept darauf überprüft werden, ob es noch effektiv ist, also den Zielen der Informationssicherheit im Unternehmen oder der Behörde entspricht.
  • Wenn es einen Sicherheitsvorfall gegeben hat, sollte dies Anlass für eine zusätzliche Prüfung sein.
Umsetzungshinweise

ISMS.1.M11: Aufrechterhaltung der Informationssicherheit

  • Empfehlungen zur Vorgehensweise bei der Überprüfung des Sicherheitsprozesses

Informationssicherheitsprozess

Überprüfung des Informationssicherheitsprozesses ist unabdingbar
  • Fehler und Schwachstellen erkennen und abstellen
  • Effizienz des IS-Prozesses optimieren
Verbesserung der Praxistauglichkeit
  • Strategie
  • Maßnahmen
  • Organisatorische Abläufe

Methoden zur Überprüfung

Zur Effizienzprüfung und Verbesserung sollten Verfahren und Mechanismen eingerichtet werden
  • Realisierung der beschlossenen Maßnahmen prüfen
  • deren Wirksamkeit und Effizienz überprüfen
Informationssicherheitsstrategie sollte Leitaussagen zur Messung der Zielerreichung machen
Grundlagen für Messungen
  • Detektion, Dokumentation und Auswertung von Sicherheitsvorfällen
  • Durchführung von Übungen und Tests zur Simulation von Sicherheitsvorfällen
    • Auswertung der Ergebnisse
  • interne und externe Audits, Datenschutzkontrollen
  • Zertifizierung nach festgelegten Sicherheitskriterien
Internen Audits zur Erfolgskontrolle der umgesetzten Maßnahmen
  • nicht durch denjenigen durchführen, der die Sicherheitskonzeption entwickelt hat
  • Externe Experten mit der Durchführung solcher Prüfungsaktivitäten beauftragen

Aufwand von Audits

  • hängt von der Komplexität und Größe des Informationsverbunds ab
  • Anforderungen auch für kleine Institutionen geeignet
Kleinen Einrichtungen

In kleinen Institutionen eventuell ausreichend

  • Jährlicher technischer Check von IT-Systemen
  • Vorhandene Dokumentationen auf Aktualität prüfen
  • Probleme und Erfahrungen mit dem Sicherheitskonzept in Workshop besprechen

Überprüfung der Umsetzung

Realisierungsplan prüfen
  • Aufgabenliste und zeitliche Planung
  • Ob und inwieweit dieser eingehalten wurde
Angemessene Ressourcenplanung
  • Voraussetzung für die Einhaltung geplanter Sicherheitsmaßnahmen
  • Wurden ausreichende finanzielle und personelle Ressourcen zur Verfügung gestellt?
Die Überprüfung dient auch
  • Rechtzeitiger Wahrnehmung von Planungsfehlern
  • Anpassung der Sicherheitsstrategie, wenn sich diese als unrealistisch erweist
Benutzer-Akzeptanz
Nach Einführung neuer Sicherheitsmaßnahmen

Akzeptanz bei Nutzern prüfen

  • Werden neuen Maßnahmen nicht akzeptiert, ist ein Misserfolg vorprogrammiert
  • Ursachen herauszuarbeiten und abstellen
  • Oft reicht eine zusätzliche Aufklärung der Betroffenen
  • Alternativen prüfen

Sicherheitsrevision

Revision der Informationssicherheit anhand der IT-Grundschutz-Sicherheitsmaßnahmen
  • Gleiche Vorgehensweise wie beim Basis-Sicherheitscheck
Arbeitsökonomisch
Angepasste Checkliste erstellen
  • für jeden Baustein der IT-Grundschutz-Kataloge
  • anhand der Maßnahmentexte
  • erleichtert die Revision
  • verbessert die Reproduzierbarkeit der Ergebnisse

Aktualität von Sicherheitszielen

Rahmenbedingungen und Sicherheitskonzeption

In längeren Perspektiven prüfen
  • gesetzte Sicherheitsziele
  • Rahmenbedingungen
Anpassung der Sicherheitsleitlinie und der Sicherheitsstrategie
  • in schnelllebigen Branchen von elementarer Bedeutung
  • Betriebliche Änderungen schon bei ihrer Planungsphase in die Sicherheitskonzeption einbeziehen
  • Einsatz neuer IT-Systeme
  • Umzug
  • organisatorische Änderungen (z. B. Outsourcing)
  • Änderungen gesetzlicher Anforderungen
Nach jeder relevanten Änderung aktualisieren
  • Sicherheitskonzeption
  • dazugehörigen Dokumentation
Im Änderungsprozess der Institution berücksichtigen
  • Informationssicherheitsprozess in das Änderungsmanagement der Institution integrieren

Wirtschaftlichkeitsbetrachtung

Wirtschaftlichkeit sollte unter konstanter Beobachtung bleiben
  • Sicherheitsstrategie
  • spezifische Sicherheitsmaßnahmen
Kosten für Informationssicherheit sind schwer zu ermitteln
  • oft hilfreich, für die weitere Planung: Prüfen, ob
    • tatsächlich angefallene Kosten den geplanten entsprechen
    • ressourcenschonendere Sicherheitsmaßnahmen eingesetzt werden können
Nutzen herausarbeiten

Ebenso wichtig: Regelmäßig den Nutzen der vorhandenen Sicherheitsmaßnahmen herausarbeiten

Rückmeldungen

Rückmeldungen von Internen und Externen

Rückmeldungen über Fehler und Schwachstellen in den Prozessen

  • Informationssicherheitsorganisation
  • Revision

auch von

  • Mitarbeitern
  • Geschäftspartnern
  • Kunden oder Partnern

Wirksame Vorgehensweise festlegen

  • Beschwerden und anderen Rückmeldungen von Internen und Externen verwerten

Beschwerden

  • von Kunden oder Mitarbeitern können dabei ein Indikator für Unzufriedenheit sein
Bereits entstehender Unzufriedenheit entgegenwirken!
  • bei unzufriedenen Mitarbeitern/Kunden
  • Gefahr von Handlungen die den Betrieb stören können
    • fahrlässig
    • vorsätzlich
Rückmeldungen von Internen und Externen
Umgang mit Beschwerden
  • klar definiertes Verfahren
  • eindeutig festgelegte Kompetenzen
  • für den Umgang mit Beschwerden und für die Rückmeldung von Problemen an die zuständige Instanz
Beschwerden schnellstmöglich beantworten
  • damit die Hinweisgeber sich ernst genommen fühlen
Gemeldeten Probleme bewerten
  • Handlungsbedarf eingeschätzten
  • angemessene Korrekturmaßnahmen zur Beseitigung der Ursachen von Fehlern ergreifen
  • erneutes Auftreten verhindern

Informationsfluss

Informationsfluss im Informationssicherheitsprozess

Im Rahmen der Überprüfung und Verbesserung entstehen
  • Berichte
  • Audit-Reports
  • Ergebnisse von Sicherheitstests
  • Meldungen über sicherheitsrelevante Ereignisse
  • weitere Dokumente zur Informationssicherheit

Dokumente müssen

  • aussagekräftig
  • für die jeweilige Zielgruppe verständlich sein

Nicht alle Informationen sind für die Leitungsebene geeignet

  • es ist eine Aufgabe des IT-Sicherheitsmanagements, diese Informationen
    • zu sammeln
    • zu verarbeiten
    • kurz und übersichtlich aufzubereiten

Berichte

Berichte an die Leitungsebene
Leitung benötigt Eckpunkte über den Stand der Informationssicherheit
  • richtige Entscheidungen bei der Steuerung und Lenkung des Informationssicherheitsprozesses Eckpunkte in Management-Berichten aufbereiten
  • Ergebnisse von Audits und Datenschutzkontrollen
  • Berichte über Sicherheitsvorfall* Berichte über bisherige Erfolge und Probleme beim Informationssicherheitsprozess IS-Organisation informiert Leitungsebene regelmäßig in angemessener Form
  • Ergebnisse der Überprüfungen
  • Status des IS-Prozesses
  • Probleme
  • Erfolge
  • Verbesserungsmöglichkeiten
Leitungsebene nimmt Management-Berichte zur Kenntnis und veranlasst notwendige Maßnahmen
Berichte an die Leitungsebene

Dokumentation

Dokumentation im Informationssicherheitsprozess

Entscheidend für Erfolg

Dokumentation des IS-Prozesses auf allen Ebenen

Nur durch ausreichende Dokumentation
  • werden getroffene Entscheidungen nachvollziehbar
  • sind Prozesse wiederholbar und standardisierbar
  • können Schwächen und Fehler erkannt und zukünftig vermieden werden
Abhängig vom Gegenstand und vom Verwendungszweck der Dokumentation
  • Technische Dokumentation und Dokumentation von Arbeitsabläufen
  • Anleitungen für Mitarbeiter
  • Aufzeichnung von Management-Entscheidungen
  • Gesetze und Regelungen
Technische Dokumentation Arbeitsabläufen
Zielgruppe
Experten
Aktuellen Stand beschreiben
  • Geschäftsprozessen
  • damit verbundener IT-Systeme und Anwendungen
Detaillierungsgrad technischer Dokumentationen
  • andere Personen mit vergleichbarer Expertise sollen die Dokumentation nachvollziehen können
  • Ein Administrator soll zwar auf sein Wissen, aber nicht auf sein Gedächtnis angewiesen sein, um die Systeme und Anwendungen wiederherzustellen
Dazu gehörten z.B.
  • Installations- und Konfigurationsanleitungen
  • Anleitungen für den Wiederanlauf nach einem Sicherheitsvorfall
  • Dokumentation von Test- und Freigabeverfahren
  • Anweisungen für das Verhalten bei Störungen und Sicherheitsvorfällen
Bei Sicherheitsübungen und bei Behandlung von Sicherheitsvorfällen
  • Qualität der vorhandenen Dokumentationen bewerten
  • gewonnene Erkenntnisse zur Verbesserung nutzen
Anleitungen für Mitarbeiter

Zielgruppe: Mitarbeiter

Sicherheitsmaßnahmen in Form von Richtlinien dokumentieren
  • für die Mitarbeiter verständlich

Mitarbeiter müssen informiert und geschult sein

  • Existenz und Bedeutung dieser Richtlinien
Dazu gehört
  • Arbeitsabläufe und organisatorische Vorgaben
  • Richtlinien zur Nutzung des Internets
  • Verhalten bei Sicherheitsvorfällen
Entscheidungen aufzeichnen
  • Informationssicherheitsprozess
  • Sicherheitsstrategie
  • jederzeit verfügbar
  • nachvollziehbar
  • wiederholbar
Gesetze und Regelungen

Zielgruppe: Leitungsebene

Für Informationsverarbeitung sind viele unterschiedliche relevant
  • Gesetze
  • Regelungen
  • Anweisungen
  • Verträge
Besondere Anforderungen sollten dokumentiert werden
  • welche konkreten Konsequenzen ergeben sich daraus
    • Geschäftsprozesse
    • IT-Betrieb
    • Informationssicherheit
Aktuellen Stand der Dokumentationen sicherstellen
  • Dafür muss die Dokumentation in den Änderungsprozess einbezogen werden

Informationsfluss und Meldewege

Richtlinie zum Informationsfluss und Meldewegen

Grundsätzliche Festlegungen

  • Hol- und Bringschuld
Kommunikationsplan
  • Wer? Wem? Was? Wann? Bis wann? Form? Feedback bis?
  • von der Leitungsebene verabschieden lassen
Aktualisierung der Meldewege
  • Festlegungen für den Informationsfluss
  • Zeitnahe Aktualisierung von elementarer Bedeutung für die Aufrechterhaltung des Informationssicherheitsprozesses Verbesserung des Informationsflusses
  • Ergebnisse aus Übungen, Tests und Audits sind nützliche Grundlage für die Verbesserung des Informationsflusses
Synergieeffekten für den Informationsfluss
Oft sind bereits Prozesse für den IT-Support definiert Synergieeffekte nutzen

Meldewege für IT-Sicherheitsvorfälle können in den IT-Support integriert werden

  • Kapazitätsplanung um Aspekte der Notfallvorsorge erweitert werden
  • Viele Informationen, die aus Sicherheitsgründen erhoben werden, können auch zu anderen Zwecken genutzt werden Sicherheitsmaßnahmen haben positive Nebeneffekte
  • besonders Optimierung von Prozessen ist für viele Bereiche relevant
    • Bestimmung von Informationseigentümern
    • Einstufung von Informationen nach einheitlichen Bewertungskriterien Überblick über die Abhängigkeit
  • der Geschäftsprozesse von IT-Systemen und Anwendungen
  • ist nicht nur für das Sicherheitsmanagement sinnvoll
  • exakte Zuordnung von IT-Kosten, auf einzelne Geschäftsprozesse

IT-Grundschutz-Zertifizierung

IT-Grundschutz/Zertifizierung


Bewertung

Kennzahlen

Grundschutz/Kennzahlen - Beschreibung

Beschreibung

Kennzahlen

Bewährtes Instrument zur Kommunikation über Erfolge und Probleme

Indikatoren für die Güte
  • Sicherheitsprozesses
  • Einzelner Sicherheitsaspekte
Beispiele

Schichten des IT-Grundschutz/Kompendiums

  • Technisch
  • Organisatorisch
Kennzahlen zur Informationssicherheit
Baustein Bezeichnung Anforderung Kennzahl
ISMS.1 Sicherheitsmanagement Die Leitungsebene SOLLTE regelmäßig über den Stand der Informationssicherheit informiert werden. Anzahl der Leitungsmeetings mit Sicherheitsreport / Anzahl aller Leitungsmeetings
ORP.2 Personal Aufgaben und Zuständigkeiten von Mitarbeitern SOLLTEN in geeigneter Weise dokumentiert sein. Anzahl der Mitarbeiterverträge mit Verpflichtung zur sicheren Handhabung von Informationen / Anzahl aller Mitarbeiterverträge
CON.3 Datensicherungskonzept Die Datensicherung und ein möglicherweise vorzunehmender Restore SOLLTEN regelmäßig getestet werden. Anzahl erfolgreicher Tests / Gesamtzahl der Tests zur Wiederherstellung gesicherter Daten
OPS.1.1.2 Ordnungsgemäße IT-Administration Die Befugnisse, Aufgaben und Pflichten der -Administratoren SOLLTEN in einer Arbeitsanweisung oder Richtlinie verbindlich festgeschrieben werden. Anzahl von Arbeitsanweisungen / Anzahl aller Administratoren
DER.1 Detektion von sicherheitsrelevanten Ereignissen Die gesammelten Ereignismeldungen der -Systeme und Anwendungssysteme SOLLTEN auf einer zentralen Protokollinfrastruktur aufbewahrt werden. Anzahl zentral gesammelter Ereignismeldungen / Anzahl aller Ereignismeldungen
APP.1.1 Office-Produkte Neue Office-Produkte SOLLTEN vor dem Einsatz auf Kompatibilität mit etablierten Arbeitsmitteln getestet werden. Anzahl der eingesetzten getesteten Office-Produkte / Anzahl aller eingesetzten Office-Produkte
SYS.1.1 Allgemeiner Server Ablauf, Rahmenbedingungen und Anforderungen an administrative Aufgaben sowie die Aufgabentrennungen zwischen den verschiedenen Rollen der Benutzer des -Systems SOLLTEN in einem Benutzer- und Administrationskonzept festgeschrieben werden. Anzahl von Servern mit detailliertem Administrationskonzept / Anzahl aller Server
Vielzahl an Kennzahlen

Diese Beispiele verdeutlichen, dass für eine umfassende Bewertung der Informationssicherheit eine Vielzahl an Kennzahlen nötig ist.

  • Erhebung, Berechnung und Aufbereitung der Kennzahlen erfordern unter Umständen einen sehr hohen Aufwand
  • wobei technische Kennzahlen oft automatisiert erhoben werden können und
  • damit der bei ihnen anfallende Aufwand meist geringer ist als bei organisatorischen Kennzahlen.
Aufwand

Damit der Aufwand in einem angemessenen Verhältnis zum Ergebnis steht, ist es wichtig, dass die Ziele der Kennzahlen klar formuliert und der erforderliche Aufwand für die Erhebung der Messwerte gut abgeschätzt werden.

  • Wenn Sie planen, in Ihrer Institution Kennzahlen zur Informationssicherheit einzuführen, empfiehlt es sich, zunächst mit wenigen Kennzahlen zu starten und diese dann mithilfe der gewonnenen Erfahrungen Schritt für Schritt zu ergänzen.


Reifegradmodelle

Reifegrad

Behandlung von Prüfergebnisse

Die Ergebnisse aller Überprüfungen müssen dokumentiert und der Leitung mitgeteilt werden.

  • Diese benötigt insbesondere Informationen über den Stand der Umsetzung, Erfolge und auch Probleme sowie Risiken aufgrund von Umsetzungsmängeln.
  • Bei Abweichungen von der Planung müssen Vorschläge erarbeitet werden, wie diese anzupassen oder die Umsetzung zu korrigieren ist.
  • Gleiches gilt für Vorschläge zur Verbesserung und Weiterentwicklung der Sicherheitsmaßnahmen.
  • Alle Entscheidungen hierzu, auch die Übernahme von Risiken durch eine verzögerte Umsetzung von Maßnahmen, müssen dokumentiert werden.

Standard-Anforderungen, die Berichte an die Leitungsebene erfüllen SOLLTEN, werden im Baustein ISMS.1 Sicherheitsmanagement des -Grundschutz-Kompendiums unter ISMS.1.A12 Management-Berichte zur Informationssicherheit beschrieben.

Übernahme der Ergebnisse

Übernahme der Ergebnisse in den Informationssicherheitsprozess

Ergebnisse der Erfolgskontrolle notwendig für Verbesserung des IS-Prozesses

Es kann sich herausstellen, dass

  • Sicherheitsziele,
  • Sicherheitsstrategie oder
  • Sicherheitskonzept

geändert und die Sicherheitsorganisation angepasst werden sollten.

Unter Umständen sinnvoll
  • grundlegende Änderungen an der IT-Umgebung
  • Geschäftsprozesse verändern
    • z. B. wenn Sicherheitsziele unter den bisherigen Rahmenbedingungen nicht oder
    • nur umständlich (also mit hohem finanziellen oder personellen Aufwand)
  • erreicht werden können.
Management-Kreislauf schließt sich
  • größere Veränderungen vorgenommen und umfangreiche Verbesserungen
  • neue Planungsphase beginnen

Überprüfungen von geeigneten Personen durchführen lassen

  • Kompetenz
  • Unabhängigkeit

Vollständigkeits- und Plausibilitätskontrollen

  • sollten nicht durch die Ersteller der Konzepte durchgeführt werden.
Vorgehensweise zur Überprüfung und Verbesserung
  • in Richtlinie dokumentieren
  • von der Leitungsebene verabschieden lassen

In der Richtlinie zur Überprüfung und Verbesserung sollte geregelt werden,

  • wie interne Audits im Bereich der Informationssicherheit durchzuführen sind und
  • wie die Ergebnisse in den Änderungsprozess einfließen.
Prüfergebnisse und -berichte sind
  • im Allgemeinen als hochvertraulich zu betrachten und
  • müssen besonders gut geschützt werden.

Anhang

Siehe auch

Links

Weblinks