IT-Grundschutz/Dokumentation: Unterschied zwischen den Versionen

Aus Foxwiki
 
Zeile 111: Zeile 111:


=== Siehe auch ===
=== Siehe auch ===
# IT-Grundschutz/Referenzdokumente
# [[IT-Grundschutz/Referenzdokumente]]
[[Kategorie:IT-Grundschutz/Dokumentation]]
[[Kategorie:IT-Grundschutz/Dokumentation]]

Aktuelle Version vom 19. November 2024, 13:25 Uhr

Dokumentation im Informationssicherheitsprozess

Dokumentation im Informationssicherheitsprozess

Entscheidend für Erfolg

Dokumentation des IS-Prozesses auf allen Ebenen

Nur durch ausreichende Dokumentation
  • werden getroffene Entscheidungen nachvollziehbar
  • sind Prozesse wiederholbar und standardisierbar
  • können Schwächen und Fehler erkannt und zukünftig vermieden werden
Abhängig vom Gegenstand und vom Verwendungszweck der Dokumentation
  • Technische Dokumentation und Dokumentation von Arbeitsabläufen
  • Anleitungen für Mitarbeiter
  • Aufzeichnung von Management-Entscheidungen
  • Gesetze und Regelungen
Technische Dokumentation Arbeitsabläufen
Zielgruppe
Experten
Aktuellen Stand beschreiben
  • Geschäftsprozessen
  • damit verbundener IT-Systeme und Anwendungen
Detaillierungsgrad technischer Dokumentationen
  • andere Personen mit vergleichbarer Expertise sollen die Dokumentation nachvollziehen können
  • Ein Administrator soll zwar auf sein Wissen, aber nicht auf sein Gedächtnis angewiesen sein, um die Systeme und Anwendungen wiederherzustellen
Dazu gehörten
  • Installations- und Konfigurationsanleitungen
  • Anleitungen für den Wiederanlauf nach einem Sicherheitsvorfall
  • Dokumentation von Test- und Freigabeverfahren
  • Anweisungen für das Verhalten bei Störungen und Sicherheitsvorfällen
Bei Sicherheitsübungen und bei Behandlung von Sicherheitsvorfällen
  • Qualität der vorhandenen Dokumentationen bewerten
  • gewonnene Erkenntnisse zur Verbesserung nutzen
Anleitungen für Mitarbeiter

Zielgruppe: Mitarbeiter

Sicherheitsmaßnahmen in Form von Richtlinien dokumentieren
  • für die Mitarbeiter verständlich

Mitarbeiter müssen informiert und geschult sein

  • Existenz und Bedeutung dieser Richtlinien
Dazu gehört
  • Arbeitsabläufe und organisatorische Vorgaben
  • Richtlinien zur Nutzung des Internets
  • Verhalten bei Sicherheitsvorfällen
Entscheidungen aufzeichnen
  • Informationssicherheitsprozess
  • Sicherheitsstrategie
  • jederzeit verfügbar
  • nachvollziehbar
  • wiederholbar
Gesetze und Regelungen

Zielgruppe: Leitungsebene

Für Informationsverarbeitung sind viele unterschiedliche relevant
  • Gesetze
  • Regelungen
  • Anweisungen
  • Verträge
Besondere Anforderungen sollten dokumentiert werden
  • welche konkreten Konsequenzen ergeben sich daraus
    • Geschäftsprozesse
    • IT-Betrieb
    • Informationssicherheit
Aktuellen Stand der Dokumentationen sicherstellen
  • Dafür muss die Dokumentation in den Änderungsprozess einbezogen werden
Informationsfluss und Meldewege

Richtlinie zum Informationsfluss und Meldewegen

  • dokumentiert grundsätzliche Festlegungen
  • zwischen Hol- und Bringschuld unterscheiden
    • Kommunikationsplan erstellen
    • Wer? Wem? Was? Wann? Bis wann? Form? Feedback bis?
  • von der Leitungsebene verabschieden lassen
Aktualisierung der Meldewege
  • Festlegungen für den Informationsfluss
  • zeitnahe Aktualisierung von elementarer Bedeutung für die Aufrechterhaltung des Informationssicherheitsprozesses Verbesserung des Informationsflusses
  • Ergebnisse aus Übungen, Tests und Audits sind nützliche Grundlage für die Verbesserung des Informationsflusses
Synergieeffekten für den Informationsfluss
Oft sind bereits Prozesse für den IT-Support definiert Synergieeffekte nutzen
  • Meldewege für IT-Sicherheitsvorfälle können in den IT-Support integriert werden
  • die Kapazitätsplanung um Aspekte der Notfallvorsorge erweitert werden.
  • Viele Informationen, die aus Sicherheitsgründen erhoben werden, können auch zu anderen Zwecken genutzt werden Sicherheitsmaßnahmen haben positive Nebeneffekte
  • besonders Optimierung von Prozessen ist für viele Bereiche relevant
    • Bestimmung von Informationseigentümern
    • Einstufung von Informationen nach einheitlichen Bewertungskriterien Überblick über die Abhängigkeit
  • der Geschäftsprozesse von IT-Systemen und Anwendungen
  • ist nicht nur für das Sicherheitsmanagement sinnvoll
  • exakte Zuordnung von IT-Kosten, auf einzelne Geschäftsprozesse
Aktionspunkte Informationsfluss
  1. Festlegungen zum Informationsfluss und zu den Meldewegen in einer Richtlinie dokumentieren und der Leitungsebene zur Verabschiedung vorlegen
  2. Leitungsebene über die Ergebnisse von Überprüfungen und den Status des Informationssicherheitsprozesses informieren
  3. Entscheidungen über erforderliche Korrekturmaßnahmen einholen
  4. Alle Teilaspekte des gesamten Informationssicherheitsprozesses nachvollziehbar dokumentieren und die Dokumentation auf dem aktuellen Stand halten
  5. Die Qualität der Dokumentation bewerten und nachbessern oder aktualisieren
  6. Meldewege auf dem aktuellen Stand halten
  7. Synergien zwischen dem Informationssicherheitsprozess und anderen Managementprozessen ausfindig machen

Siehe auch

  1. IT-Grundschutz/Referenzdokumente