IT-Grundschutz/Verbesserungsprozess: Unterschied zwischen den Versionen

Aus Foxwiki
Zeile 52: Zeile 52:
Kennzahlen zur Informationssicherheit
Kennzahlen zur Informationssicherheit


{|  
{| class="wikitable"
|-  
|-  
! | Baustein
! | Baustein

Version vom 17. Mai 2023, 22:09 Uhr

topic - Kurzbeschreibung

Beschreibung

Aufrechterhaltung und Verbesserung

Im Realisierungsplan haben Sie festgehalten, welche Maßnahmen Ihres Sicherheitskonzepts zu welchem Zeitpunkt und in welcher Weise umgesetzt sein sollen. Dabei haben Sie erforderliche Ressourcen, eventuelle Zwischentermine und begleitende Maßnahmen berücksichtigt. Damit Sie sicher sein können, dass alles wie geplant umgesetzt ist und funktioniert, müssen Sie die Einhaltung der Planung regelmäßig kontrollieren.

Informationssicherheit ist darüber hinaus kein einmalig herzustellender und anschließend stabiler Zustand, sondern ein stetiger Prozess, der immer wieder an sich wandelnde und neue Herausforderungen angepasst werden muss.

In dieser Lektion lernen Sie Verfahren kennen, mit denen Sie Angemessenheit und Wirksamkeit der technischen und organisatorischen Maßnahmen für Informationssicherheit in Ihrer Institution kontinuierlich überwachen und verbessern können. Sie erfahren,

  • wie Sie den Umsetzungsstand der im Sicherheitskonzept vorgesehenen Maßnahmen prüfen,
  • wie Sie bei der Überprüfung der Wirksamkeit der Maßnahmen vorgehen sollten,
  • wie Sie die Erkenntnisse aus den Überprüfungen in Maßnahmen zur Verbesserung Ihres Informationssicherheitsmanagements überführen,
  • wie Ihnen Kennzahlen bei der Bewertung einzelner Aspekte der Informationssicherheit helfen können,
  • was unter einem Reifegradmodell der Informationssicherheit zu verstehen ist und welchen Nutzen Sie daraus ziehen können sowie
  • wie Sie Dritten Ihr gutes Sicherheitsniveau mit einem 27001-Zertifikat auf Basis von -Grundschutz nachweisen können.

Leitfragen für die Überprüfung

Um sicherzustellen, dass die Maßnahmen des Sicherheitskonzepts immer den Anforderungen entsprechen, müssen sie kontinuierlich überprüft werden.

"Zyklus der Informationssicherheit"

Diese Überprüfungen sollten sich an folgenden Leitfragen orientieren:

  • Welche Ziele der Informationssicherheit sind aktuell vordringlich?Die Bedeutung von Sicherheitszielen kann sich im Zeitablauf verändern. So kann es wichtiger werden, die Vertraulichkeit von Informationen zu schützen, wenn sich gesetzliche Rahmenbedingungen ändern oder aber die Institution mit Daten arbeitet, die dies verstärkt erfordern. Alle Maßnahmen zur Erhaltung der Vertraulichkeit müssen daher besonders sorgfältig geprüft werden. Eine weitere wichtige Frage ist, ob die gewählten Sicherheitsmaßnahmen noch der Gefährdungslage entsprechen. Auch ist zu prüfen, ob neue technische Verfahren einen effizienteren und wirksameren Schutz bieten können.
  • Wer ist verantwortlich für die Überwachung des Informationssicherheitsprozesses?Häufig ist die Institution so komplex, dass der nicht alle Überprüfungen leiten und durchführen kann. Dann ist es wichtig, dass für verschiedene Bereiche Personen benannt sind, die diese Maßnahmen konzipieren, umsetzen, Ergebnisse dokumentieren sowie Verbesserungen planen und steuern. Bei einer solchen verteilten Verantwortung ist eine gute Zusammenarbeit mit dem wichtig, der über alle Schritte informiert werden muss.
  • Wie häufig sind die Verfahren zu überprüfen?Für weniger wichtige Schutzmechanismen kann eine Überprüfung seltener erfolgen als für kritische Prozesse. Mindestens einmal pro Jahr muss das Sicherheitskonzept darauf überprüft werden, ob es noch effektiv ist, also den Zielen der Informationssicherheit im Unternehmen oder der Behörde entspricht. Wenn es einen Sicherheitsvorfall gegeben hat, sollte dies Anlass für eine zusätzliche Prüfung sein.

Die Umsetzungshinweise in ISMS.1.M11: Aufrechterhaltung der Informationssicherheit geben wichtige Empfehlungen zur Vorgehensweise bei der Überprüfung des Sicherheitsprozesses.

Überprüfungsverfahren

Es gibt eine Reihe von bewährten Verfahren, mit denen Sie die Effizienz und Effektivität Ihrer Vorkehrungen für Informationssicherheit prüfen können, angefangen mit der Abarbeitung einfacher Checklisten und der punktuellen Prüfung der Netzsicherheit mittels Penetrationstests bis hin zu umfassenden Prüfungen der Angemessenheit und Wirksamkeit der umgesetzten technischen und organisatorischen Schutzmaßnahmen.

Grundsätzlich gilt, dass umfassende Prüfungen in regelmäßigen Intervallen (jährlich bis maximal drei Jahre) durchgeführt werden sollten. Aber auch fallweise Prüfungen sind zweckmäßig, beispielsweise bei der Änderung von Geschäftsprozessen und insbesondere nach Sicherheitsvorfällen.

Sicherheitsvorfälle sollten immer ein Anlass sein, die Sicherheitskonzeption zu hinterfragen. Dies sollte offen und sorgfältig geschehen, um Schwachstellen, die einen Vorfall begünstigt haben, identifizieren und beseitigen zu können.

Zwei zweckmäßige Verfahren, mit den Sie Ihr Sicherheitskonzept und das erreichte Schutzniveau prüfen können, sind die -Revision und der Cyber-Sicherheits-Check:

  • Mit einer Informationssicherheitsrevision (-Revision) können Sie nach einem festgelegten Verfahren und von kompetenten Revisoren überprüfen lassen, ob das Sicherheitskonzept Ihrer Institution wie beabsichtigt umgesetzt ist und es nach wie vor den aktuellen Anforderungen gerecht wird. Die -Revision liefert sowohl den Verantwortlichen für Informationssicherheit als auch der Leitung einer Institution belastbare Informationen über den aktuellen Zustand der Informationssicherheit. Neben einer umfassenden Prüfung, die auf die vollständige und vertiefte Überprüfung der Informationssicherheit in einer Institution abhebt, gibt es mit der Kurz-, Querschnitts- und Partialrevision Varianten, bei denen Tiefe und Umfang der Prüfung begrenzt sind.
  • Wenn Sie noch wenig Erfahrung mit diesem Thema haben, kann der Cyber-Sicherheits-Check eine wichtige Hilfe bei der Überprüfung des Sicherheitsniveaus Ihrer Institution sein. Er gibt ihnen Hinweise zur Anfälligkeit gegen Cyberangriffe und ist so angelegt, dass die regelmäßige Durchführung das Risiko verringert, zum Opfer solcher Angriffe zu werden.

Für die Durchführung der -Revision hat das ein eigenes Vorgehensmodell entwickelt, das im Leitfaden -Revision beschrieben ist. Dort erfahren Sie auch mehr zu Prüfumfang und -tiefe sowie Einsatzzweck der unterschiedlichen Varianten des Verfahrens.

Behandlung der Prüfergebnisse

Die Ergebnisse aller Überprüfungen müssen dokumentiert und der Leitung mitgeteilt werden. Diese benötigt insbesondere Informationen über den Stand der Umsetzung, Erfolge und auch Probleme sowie Risiken aufgrund von Umsetzungsmängeln. Bei Abweichungen von der Planung müssen Vorschläge erarbeitet werden, wie diese anzupassen oder die Umsetzung zu korrigieren ist. Gleiches gilt für Vorschläge zur Verbesserung und Weiterentwicklung der Sicherheitsmaßnahmen. Alle Entscheidungen hierzu, auch die Übernahme von Risiken durch eine verzögerte Umsetzung von Maßnahmen, müssen dokumentiert werden.

Standard-Anforderungen, die Berichte an die Leitungsebene erfüllen SOLLTEN, werden im Baustein ISMS.1 Sicherheitsmanagement des -Grundschutz-Kompendiums unter ISMS.1.A12 Management-Berichte zur Informationssicherheit beschrieben.

Kennzahlen

Kennzahlen können als Indikator für die Güte des gesamten Sicherheitsprozesses oder einzelner Teilprozesse und -aspekte dienen. Sie sind ein bewährtes Instrument in der Kommunikation mit der Leitung einer Institution über Erfolge, aber auch Probleme der Informationssicherheit.

Die folgende Tabelle enthält für verschiedene Schichten des -Grundschutz-Kompendiums ein Beispiel für eine mögliche Kennzahl. Diese Beispiele zeigen auch, dass mit Kennzahlen sowohl technische als auch organisatorische Aspekte der Informationssicherheit erfasst werden können.

Kennzahlen zur Informationssicherheit

Baustein Anforderung Kennzahl
ISMS.1 Sicherheitsmanagement Die Leitungsebene SOLLTE regelmäßig über den Stand der Informationssicherheit informiert werden. Anzahl der Leitungsmeetings mit Sicherheitsreport / Anzahl aller Leitungsmeetings
ORP.2 Personal Aufgaben und Zuständigkeiten von Mitarbeitern SOLLTEN in geeigneter Weise dokumentiert sein. Anzahl der Mitarbeiterverträge mit Verpflichtung zur sicheren Handhabung von Informationen / Anzahl aller Mitarbeiterverträge
CON.3 Datensicherungskonzept Die Datensicherung und ein möglicherweise vorzunehmender Restore SOLLTEN regelmäßig getestet werden. Anzahl erfolgreicher Tests / Gesamtzahl der Tests zur Wiederherstellung gesicherter Daten
OPS.1.1.2 Ordnungsgemäße IT-Administration Die Befugnisse, Aufgaben und Pflichten der -Administratoren SOLLTEN in einer Arbeitsanweisung oder Richtlinie verbindlich festgeschrieben werden. Anzahl von Arbeitsanweisungen / Anzahl aller Administratoren
DER.1 Detektion von sicherheitsrelevanten Ereignissen Die gesammelten Ereignismeldungen der -Systeme und Anwendungssysteme SOLLTEN auf einer zentralen Protokollinfrastruktur aufbewahrt werden. Anzahl zentral gesammelter Ereignismeldungen / Anzahl aller Ereignismeldungen
APP.1.1 Office-Produkte Neue Office-Produkte SOLLTEN vor dem Einsatz auf Kompatibilität mit etablierten Arbeitsmitteln getestet werden. Anzahl der eingesetzten getesteten Office-Produkte / Anzahl aller eingesetzten Office-Produkte
SYS.1.1 Allgemeiner Server Ablauf, Rahmenbedingungen und Anforderungen an administrative Aufgaben sowie die Aufgabentrennungen zwischen den verschiedenen Rollen der Benutzer des -Systems SOLLTEN in einem Benutzer- und Administrationskonzept festgeschrieben werden. Anzahl von Servern mit detailliertem Administrationskonzept / Anzahl aller Server

Diese Beispiele verdeutlichen, dass für eine umfassende Bewertung der Informationssicherheit eine Vielzahl an Kennzahlen nötig ist. Erhebung, Berechnung und Aufbereitung der Kennzahlen erfordern unter Umständen einen sehr hohen Aufwand, wobei technische Kennzahlen oft automatisiert erhoben werden können und damit der bei ihnen anfallende Aufwand meist geringer ist als bei organisatorischen Kennzahlen.

Damit der Aufwand in einem angemessenen Verhältnis zum Ergebnis steht, ist es wichtig, dass die Ziele der Kennzahlen klar formuliert und der erforderliche Aufwand für die Erhebung der Messwerte gut abgeschätzt werden. Wenn Sie planen, in Ihrer Institution Kennzahlen zur Informationssicherheit einzuführen, empfiehlt es sich, zunächst mit wenigen Kennzahlen zu starten und diese dann mit Hilfe der gewonnenen Erfahrungen Schritt für Schritt zu ergänzen.

Reifegradmodelle

Einen sehr umfassenden Blick auf die Qualität des Informationssicherheitsprozesses können Sie mit Hilfe eines Reifegradmodells erhalten. Hierzu muss das über Jahre hinweg analysiert und bewertet werden. Der Maßstab für die „Reife“ des gesamten oder aber auch von Teilen hiervon ist der Grad der Strukturierung und der systematischen Steuerung des Prozesses.

Folgende Tabelle zeigt ein Beispiel für die Definition von Reifegraden:

Reifegrade und ihre Merkmale

Reifegrad Kennzeichen
0 Es existiert kein Prozess, es gibt auch keine Planungen hierzu.
1 Es gibt Planungen zur Etablierung eines Prozesses, jedoch keine Umsetzungen.
2 Teile des Prozesses sind umgesetzt, es fehlt jedoch an systematischer Dokumentation.
3 Der Prozess ist vollständig umgesetzt und dokumentiert.
4 Der Prozess wird darüber hinaus auch regelmäßig auf Effektivität überprüft.
5 Zusätzlich sind Maßnahmen zur kontinuierlichen Verbesserung vorhanden.

Ziel der Anwendung eines Reifegradmodells ist es, die Qualität aller Teilbereiche des zu erhöhen. Durch regelmäßige Analysen können Sie überprüfen, welche Prozesse noch unzureichend gesteuert sind. Die folgende Grafik stellt beispielhaft die erreichten Reifegrade verschiedener Themenfelder in einer Institution dar. Dort wo der Reifegrad niedrig ist, besteht ein besonderer Handlungsbedarf. Reifegradmodelle können folglich dabei unterstützen, Schwerpunkte für die Weiterentwicklung eines zu setzen.

"Beispiel für ein Reifegradmodell"

IT-Grundschutz-Zertifizierung

Allgemein anerkannte Zertifikate setzen Maßstäbe und schaffen Vertrauen. Auch im Bereich der Informationssicherheit sind verlässliche Standards wünschenswert, die den Anwendern Orientierung zur Sicherheit von Produkten, Systemen und Verfahren bieten. Daher gibt es bereits seit vielen Jahren international anerkannte Kriterienwerke, auf deren Grundlage die Sicherheitseigenschaften von Produkten und Systemen durch unabhängige Zertifizierungsstellen bestätigt werden können.

Das  27001-Zertifikat auf Basis von -Grundschutz belegt in besonderer Weise das Bemühen um Informationssicherheit, da Grundlage für die Vergabe nicht nur die Erfüllung der allgemeinen Anforderungen der Norm 27001 an das Sicherheitsmanagement ist, sondern auch die nachgewiesene Umsetzung der wesentlich konkreteren Anforderungen des -Grundschutzes.

Die Zertifizierung des Managements für Informationssicherheit kann für unterschiedliche Zielgruppen interessant sein, zum Beispiel für

  • Anbieter im E-Commerce oder E-Government, die verdeutlichen wollen, dass sie sorgfältig und sicherheitsbewusst mit den Daten der Kunden und Bürger umgehen,
  • -Dienstleister, die mit einem allgemein anerkannten Maßstab die Sicherheit ihrer Dienstleistungen belegen wollen,
  • Unternehmen und Behörden, die mit anderen Einrichtungen kooperieren wollen und Informationen über deren Sicherheitsniveau wünschen.

Ein Zertifizierungsverfahren wirkt aber auch nach innen: Es trägt dazu bei, das Bewusstsein der Mitarbeiter für die Notwendigkeit von Informationssicherheit zu stärken, und erleichtert dadurch die Umsetzung erforderlicher Sicherheitsmaßnahmen.

Der Zertifizierungsprozess

Voraussetzung für die Vergabe eines ISO 27001-Zertifikats auf Basis von -Grundschutz ist der Nachweis, dass ein den Anforderungen der Norm entsprechendes Informationssicherheitsmanagement eingerichtet ist und die -Grundschutz-Anforderungen wirksam erfüllt sind. Gegenstand der Zertifizierung muss dabei nicht die gesamte Institution sein. Der betrachtete Informationsverbund kann sich auch auf einzelne Geschäftsprozesse, Fachaufgaben oder Organisationseinheiten beschränken. Diese müssen jedoch sinnvoll abgegrenzt sein und eine gewisse Mindestgröße haben.

Die folgende Abbildung veranschaulicht den Zertifizierungsprozess:

"ISO 27001-Zerifizierung auf Basis von IT-Grundschutz - Zertifizierungsprozess"

Für den Nachweis, dass die Anforderungen erfüllt sind, ist ein Audit durch einen unabhängigen, vom anerkannten Auditor erforderlich. Jedes Audit setzt sich grundsätzlich aus zwei getrennten, aufeinander aufbauenden Phasen zusammen:

  • Phase 1 umfasst eine Dokumentenprüfung der so genannten Referenzdokumente des Antragstellers. Dazu zählen neben den geltenden Sicherheitsrichtlinien (Leitlinie zur Informationssicherheit, Richtlinien zur Risikoanalyse, Richtlinie zur internen -Auditierung) und dem Risikobehandlungsplan insbesondere auch die Ergebnisdokumente der verschiedenen Phasen der Sicherheitskonzeption (Strukturanalyse, Schutzbedarfsfeststellung, Modellierung, -Grundschutz-Check, Risikoanalyse, Realisierungsplanung).
  • In Phase 2 folgt die Umsetzungsprüfung durch den Auditor, bei der die Vollständigkeit, Korrektheit, und Wirksamkeit der in den Referenzdokumenten beschriebenen Maßnahmen sowie deren Konformität zu den Anforderungen von 27001 und -Grundschutz im Fokus stehen.

Ein Zertifikat wird nur erteilt, wenn der Auditbericht ein positives Gesamtvotum aufweist und durch die Zertifizierungsstelle akzeptiert wurde. Im Rahmen einer Prüfbegleitung wird der Auditbericht gegen die Vorgaben des vom veröffentlichen Zertifizierungsschemas geprüft.

Ein erteiltes Zertifikat ist drei Jahre lang gültig und muss in diesem Zeitraum durch ein jährliches Überwachungsaudit bestätigt werden.

Das der 27001-Zertifizierung auf Basis von -Grundschutz zugrunde liegende Zertifizierungsschema, Hinweise zu den erforderlichen Referenzdokumenten und alle weiteren wichtigen Informationen zum Thema finden Sie in einem eigenen Unterthema gebündelt auf der Website des .


Anhang

Siehe auch

Sicherheit

Dokumentation

Links

Einzelnachweise
Projekt
Weblinks

Test

Frage 1:

Warum sollten Sie Ihr Sicherheitskonzept regelmäßig überprüfen?

  1. weil sich die Gefährdungslage ändert [richtig]
  2. weil sich die Prozesse und Strukturen einer Institution ändern [richtig]
  3. weil sich die Zielsetzungen und Prioritäten einer Institution ändern [richtig]
  4. weil die -Sicherheitsbranche ständig neuen Trends unterliegt

Frage 2:

Welche Kriterien sollten Sie bei der Überprüfung Ihres Sicherheitskonzepts berücksichtigen?

  1. die Aktualität des Sicherheitskonzepts [richtig]
  2. den Umfang des Sicherheitskonzepts
  3. die Akzeptanz des Sicherheitskonzepts bei der Leitung der Institution
  4. die Vollständigkeit des Sicherheitskonzepts [richtig]

Frage 3:

Welche Vorteile bieten Reifegradmodelle für die Bewertung eines?

  1. Mit einem Reifegradmodell können der Grad der Strukturiertheit und das Maß der systematischen Steuerung eines Prozesses bewertet werden. [richtig]
  2. Die Anwendung eines Reifegradmodells ist Voraussetzung für den Erwerb eines -Grundschutz-Zertifikats.
  3. Ein Reifegradmodell kann auf Teilaspekte des angewendet werden und Defizite bei einzelnen Prozessen abbilden. [richtig]
  4. Durch Anwendung eines Reifegradmodells wird eine zentrale Forderung der Norm 27001 erfüllt.

Frage 4:

Welche Voraussetzungen müssen für den Erwerb eines 27001-Zertifikats auf der Basis von -Grundschutz erfüllt sein?

  1. ausschließlich die in einem Audit nachgewiesene Erfüllung der Basis-Anforderungen
  2. die durch Sichtung von Dokumenten und Vor-Ort-Prüfungen begründete Feststellung der erfolgreichen Erfüllung der -Grundschutz-Anforderungen durch einen zertifizierten Auditor [richtig]
  3. ein positives Resultat bei der Überprüfung des Audit-Berichts durch das [richtig]
  4. die Unterschrift eines zertifizierten Auditors unter die Selbsterklärung einer Institution, dass sie die -Grundschutz-Anforderungen umfassend erfüllt hat

Frage 5:

Welche der folgenden Untersuchungen haben die systematische Überprüfung der Informationssicherheit in einer Institution zum Ziel?

  1. die Auswertung von -Sicherheitsvorfällen
  2. Penetrationstests
  3. die -Sicherheitsrevision [richtig]
  4. ein Audit im Rahmen einer 27001-Zertifizierung auf der Basis von -Grundschutz [richtig]

Frage 6:

Was sollte vor der Einführung einer Kennzahl zur Informationssicherheit unbedingt festgelegt werden?

  1. welches Ziel mit der Kennzahl verfolgt werden soll [richtig]
  2. mit welchen Stilmitteln positive und negative Ergebnisse gekennzeichnet werden sollen
  3. mit welchem Verfahren die Werte eine Kennzahl erhoben werden [richtig]
  4. wie die Ergebnisse vor der Leitung der Institution verborgen werden können