Academy Deck Modul 2 PDF

Modul 2: Einführung in das ISM nach BSI 1 ***Confidential - For Company Internal Use Only*** IT-Grundschutz: Bestandteile Das Angebot des BSI zum IT-Grundschutz besteht aus einer Reihe von Einzelkomponenten: die BSI-Standards zum IT-Grundschutz – organisatorischer Rahmen und methodisches Vorgehen das IT-Grundschutz-Kompendium – Bausteine inkl. Anforderungen und Empfehlungen zur Umsetzung – Gefährdungskatalog – Umsetzungshilfen weitere Veröffentlichungen und Hilfsmittel – IT-Grundschutz-Profile – Dokumente, Werkzeuge und weitere Hilfsmittel 2 ***Confidential - For Company Internal Use Only*** BSI Standards: Übersicht Standards zur Informationssicherheit vom Bundesamt für Sicherheit in der Informationstechnik (BSI) Das BSI hat vier Standards zur Informationssicherheit definiert. 200-1, 200-2, 200-3 lösten 2017 die alten 100-1, 100-2 und 100-3 ab. Der 100-4 Standard wurde im Juni 2023 von 200-4 (BCM) abgelöst. 200-2 wird vom IT-Grundschutz-Kompendium ergänzt und ersetzte 2018 den IT-Grundschutz-Katalog. Der Begriff BSI Katalog kursiert trotzdem noch. 3 ***Confidential - For Company Internal Use Only*** BSI-Standards 200-1 200-2 Managementsysteme für IT-Grundschutz-Methodik Informationssicherheit BSI-Standards 200-3 200-4 Risikoanalyse auf Basis von IT- Business Continuity Management Grundschutz (ehemals 100-4 Notfallmanagement) 4 ***Confidential - For Company Internal Use Only*** Kurzeinführung zur ISO 27001: High Level Struktur Dynamik Prozessorientierter berücksichtigen Ansatz Design und Implementierun Schutz der g nach den Informationen Bedürfnissen der (CIA) Institution 5 ***Confidential - For Company Internal Use Only*** Mapping: BSI auf ISO 27001 Die Integration der DIN ISO/IEC-27001-Norm macht die Anwendung und Zertifizierung auf Basis von IT-Grundschutz besonders für international agierende Institutionen interessant. Das Bundesamt für Sicherheit in der Informationstechnik hat eine Vergleichstabelle auf die ISO/IEC 27001 erstellt und aktualisiert. Auszug aus der Zuordnung ISO 27001 zum IT-Grundschutz 6 ***Confidential - For Company Internal Use Only*** IT-Grundschutz: Anwendung der Standards ISMS nach BSI-Standard 200-1 IT-Grundschutz- methode nach BSI- IT-Grundschutz Standard 200-2 Risikoanalyse nach BSI- Standard 200-3 7 ***Confidential - For Company Internal Use Only*** BSI-Standard BSI-Standard 200-1 200-1 BSI-Standard 200-2 BSI-Standard 200-3 IT-Grundschutz-Kompendium 8 ***Confidential - For Company Internal Use Only*** Überblick: BSI-Standard 200-1 Der Standard 200-1 definiert allgemeine Anforderungen an ein ISMS Beschreibung der Methoden zur Informationssicherheit, wie diese generell initiiert, gesteuert und überwacht werden kann Der BSI-Standard 200-1 ist vollständig kompatibel mit der Norm ISO/IEC 27001 Berücksichtigt ferner die in der ISO-Norm ISO/IEC 27000 definierten Begriffe sowie die Empfehlungen der ISO-Norm ISO/IEC 27002 Aufbau eines Managementsystems für Informationssicherheit ▪ ISMS-Definition und Prozessbeschreibung ▪ Management-Prinzipien ▪ Ressourcen für Informationssicherheit ▪ Einbindung der Mitarbeiter in den Sicherheitsprozess ▪ Der Informationssicherheitsprozess ▪ Sicherheitskonzept inkl. Lebenszyklus 9 ***Confidential - For Company Internal Use Only*** Lebenszyklus des Sicherheitskonzepts nach 200-1 Auswahl einer Methode zur Risikobewertung Klassifikation von Risiken bzw. Schäden (P) Planung und Risikobewertung Konzeption Strategieentwicklung zur Behandlung von Sicherheitsvorfällen Auswahl von Sicherheitsmaßnahmen Realisierungsplan für das Sicherheitskonzept Umsetzung der Sicherheitsmaßnahmen (D) Umsetzung Aufbau der Notfallvorsorge und Behandlung von Sicherheitsvorfällen Schulung und Sensibilisierung Detektion von Sicherheitsvorfällen im laufenden Betrieb Überprüfung der Einhaltung von Vorgaben (C) Erfolgskontrolle und Überprüfung der Eignung und Wirksamkeit von Sicherheitsmaßnahmen Überwachung Überprüfung der Effizienz der Sicherheitsmaßnahmen Managementberichte (A) Optimierung und Beseitigung von Fehlern Verbesserung Verbesserung von Sicherheitsmaßnahmen 10 ***Confidential - For Company Internal Use Only*** ISMS Definition und Prozessbeschreibung nach 200-1 Sicherheitsprozess Ressourcen ISMS Mitarbeiter Management- prinzipien 11 ***Confidential - For Company Internal Use Only*** Informationssicherheitsmanagementsystem: Das ISMS Ein Informationssicherheitsmanagementsystem (ISMS) ist in erster Linie ein Managementsystem zum Schutz von Informationen als Unternehmenswerte. Kombination aus Dokumentenlandschaft Verhaltensanweisungen gelebte Praxis Ein ISMS legt fest, mit welchen Instrumenten und Methoden das Management die auf Informationssicherheit ausgerichteten Aufgaben und Aktivitäten nachvollziehbar lenkt. 12 ***Confidential - For Company Internal Use Only*** Informationssicherheitsmanagementsystem: Grundsätze bei der Maßnahmenumsetzung Organisatorisch Technisch Kosten Organisatorische Maßnahmen können mitunter genauso wirksam sein wie komplexe und kostspielige technische Maßnahmen. 13 ***Confidential - For Company Internal Use Only*** Kommunikation und Wissen nach BSI 200-1 Kommunikation ist ein wesentlicher Eckpfeiler, um die gesteckten Sicherheitsziele zu erreichen. Das BSI hat in dem Standard 200-1 diese Aspekte beschrieben und umfasst folgende Inhalte bezüglich der Kommunikation und Wissen: Berichte an die Leitungsebene Informationsfluss innerhalb der Organisation Klassifikation von Informationen Dokumentation des Sicherheitsprozesses Ferner werden künftig formale Anforderungen zur Dokumentation benannt Kennzeichnung der erforderlichen Aktionen durch [DOK] in den Standards und Bausteinen 14 ***Confidential - For Company Internal Use Only*** Informationssicherheitsmanagement: Ressourcen für Informationssicherheit Einbindung der Mitarbeiter in Die Einhaltung des den Sicherheitsprozess - verantwortungsbewusstes Sicherheitsniveaus erfordert Handeln - finanzielle - Verpflichtung auf Regelungen - personelle und - Sensibilisierung – auch der - zeitliche Ressourcen Fachkräfte - Mitarbeiter - positives Arbeitsklima, gemeinsame Wertvorstellung 15 ***Confidential - For Company Internal Use Only*** Aufbau einer Sicherheitsorganisation: Vorüberlegung Im Rahmen eines ISMS sind mehrere Rollen und Die Aufbauorganisation ist stark abhängig von: Aufgaben erforderlich. Für jede Rolle müssen die der Branche des Unternehmens folgenden Aspekte berücksichtigt werden: Den Anforderungen an das Unternehmen Notwendigkeit Der Größe des Unternehmens Zuständigkeitsbereich Die geografische Verteilung Aufgaben Anforderungsprofil 16 ***Confidential - For Company Internal Use Only*** Aufbau einer Sicherheitsorganisation: Oberste Leitung/Top Management Hauptaufgaben: Strategische Verantwortung für Informationssicherheit Verantwortung für alle Risikoentscheidungen Die Gesamtverantwortung verbleibt stets bei der obersten Leitung 17 ***Confidential - For Company Internal Use Only*** Aufbau einer Sicherheitsorganisation: Informationssicherheitsbeauftragter (ISB) Hauptaufgaben: Taktische (und zu Teilen strategische) Verantwortung für Informationssicherheit Beratung der obersten Leitung Führung der IS-Organisation Lenkung/Steuerung des IS-Prozesses Verantwortung für das IS-Risikomanagement 18 ***Confidential - For Company Internal Use Only*** Aufbau einer Sicherheitsorganisation: ICS- Informationssicherheitsbeauftragter (ICS-ISB) Hauptaufgaben: gemeinsame Ziele zwischen dem Bereich der industriellen Steuerung und dem gesamten ISMS verfolgen und aktiv unterstützen allgemeine Sicherheitsvorgaben und Richtlinien für den ICS-Bereich umsetzen Risikoanalysen für den ICS-Bereich durchführen Sicherheitsmaßnahmen für den ICS-Bereich festlegen und umsetzen, Sicherheitsrichtlinien und Konzepte für den ICS- Bereich unter Berücksichtigung von Anforderungen der Funktionssicherheit („Safety”) erstellen und die Mitarbeiter schulen 19 ***Confidential - For Company Internal Use Only*** Aufbau einer Sicherheitsorganisation: Bereichsleiter Hauptaufgaben: Operative (und zu Teilen taktische) Verantwortung für Informationssicherheit Umsetzung der Informationssicherheit nach den Vorgaben des ISB Evtl. Beratung der obersten Leitung (je nach organisatorischem Aufbau) Hinwirkung und Mitwirkung für den IS-Prozess 20 ***Confidential - For Company Internal Use Only*** Aufbau einer Sicherheitsorganisation: Mitarbeiter*innen Hauptaufgaben: Umsetzung von Maßnahmen Meldung von Problemen Hinwirkung und Mitwirkung für den IS-Prozess 21 ***Confidential - For Company Internal Use Only*** Aufbau einer Sicherheitsorganisation: Datenschutzbeauftragter (DSB) Hauptaufgaben: Kontrolle der Einhaltung des Datenschutzes – Zum Schutz des Einzelnen vor dem unbefugten Umgang von personenbezogenen Daten Beratung im Rahmen der Umsetzung der Compliance-Anforderungen im Bereich Datenschutz In einigen Unternehmen hat der DSB die Verantwortung für das Datenschutz- Managementsystem 22 ***Confidential - For Company Internal Use Only*** Aufbau einer Sicherheitsorganisation: Auditor vs. Revisor Hauptaufgaben: Auditor – Verantwortung für interne oder externe Audits – Durchführung und Leitung von Audits Revisor – Verantwortung für die Überprüfung und Einhaltung der Aufgaben – Ansprechpartner bei Verstößen 23 ***Confidential - For Company Internal Use Only*** Aufbau einer Sicherheitsorganisation: Personalrat/Betriebsrat Hauptaufgaben: Verantwortung für die Interessenvertretung der Mitarbeiter Hin- und Mitwirkung im Rahmen von Maßnahmen, die die Mitarbeiter betreffen 24 ***Confidential - For Company Internal Use Only*** Aufbau einer Sicherheitsorganisation: IS- Management-Team (ISMT) ISMT Bereichs- Leitung ISB ICS-ISB IT-Leiter DSB Betriebsrat... leiter Einbindung unterscheidet sich ja nach Organisation, Bedarf und Agenda 25 ***Confidential - For Company Internal Use Only*** ISMS-Dokumentations- und Organisationspyramide strategisch IS-Leitlinie Oberste Leitung Sicherheitskonzept nach BSI taktisch IT-Grundschutz ISB, ICS-ISB Umsetzungskonzepte und operativ Prozessbeschreibungen Fachbereich Detail- und Handlungsanweisungen, Nachweisdokumente und Mitarbeiter*innen Hilfsmittel 26 ***Confidential - For Company Internal Use Only*** Aufbau von IS-Konzepten Strategisches Dokument Zielorientiert Leitlinie Beschreibt Sicherheitsziele und das angestrebte Sicherheitsniveau Die Leitlinie nennt den Zweck, Mittel und Organisationsstrukturen zur Informationssicherheit Sicherheitskonzept mit taktische IS-Dokumente themenorientiert übergreifenden beschreiben Verfahren zur Erfüllung der IS-Anforderungen Richtlinien die Richtlinien formulieren Anforderungen operative IS-Dokumente fachbereichsbezogen Umsetzungskonzepte beschreiben die fachlichen Konzepte die Konzepte benennen konkrete Maßnahmen zur Umsetzung Details- und Ausarbeitung von Maßnahmen als Darstellung von Arbeitsschritten für Installation, Handlungs- Konfiguration, Wartung etc. Nachweisdokumente und Hilfsmittel anweisungen 27 ***Confidential - For Company Internal Use Only*** Initiierung: Leitlinie zur Informationssicherheit Erstellung einer Leitlinie zur Informationssicherheit Verantwortung der Behörden- bzw. Unternehmensleitung für die Sicherheitsleitlinie Festlegung des Geltungsbereichs Inhalte der Sicherheitsleitlinie … Bekanntgabe der Sicherheitsleitlinie Aktualisierung der Sicherheitsleitlinie 28 ***Confidential - For Company Internal Use Only*** BSI-Standard BSI-Standard 200-1 200-2 BSI-Standard 200-2 BSI-Standard 200-3 IT-Grundschutz-Kompendium 29 ***Confidential - For Company Internal Use Only*** Zielsetzung: BSI-Standard 200-2 Methodik für ein effektives Management der Informationssicherheit für Institutionen aller Größen und Arten Aufwand im Informationssicherheitsprozess reduzieren durch Standard-Sicherheitsmaßnahmen, die innerhalb eines typischen Einsatzszenarios für den normalen Schutzbedarf angemessen und ausreichend sind und die Basis für hochschutzbedürftige Geschäftsprozesse bilden. Interpretation der Anforderungen aus ISO 27001 sowie der Empfehlungen aus ISO 27002 Hinweise zur Umsetzung mit Hintergrund-Know-how und Beispielen 30 ***Confidential - For Company Internal Use Only*** BSI IT-Grundschutz 200-2: Die Drei Vorgehensweisen Quelle: BSI 31 ***Confidential - For Company Internal Use Only*** BSI IT-Grundschutz 200-2: Bestimmung des Sicherheitsniveaus Standard- Absicheru Kern- ng Entscheidung für eine beschriebenen Absicheru Vorgehensweisen Basis- ng Absicheru ng 32 ***Confidential - For Company Internal Use Only*** BSI IT-Grundschutz 200-2: Struktur der Bausteine In jedem Baustein werden die Sicherheitsanforderungen, die für den Schutz des betrachteten Gegenstands relevant sind, aufgeführt. Standard- Sie beschreiben, was zu dessen Schutz zu tun ist. Anforderungen Die Anforderungen sind in drei Kategorien Anforderungen vollständige eingruppiert. für einen Absicherung Basis- hohen Anforderung Schutzbedarf Basis- Kern- Absicherung Absicherung 33 ***Confidential - For Company Internal Use Only*** Vorgehensweise: Basis-Absicherung Die Vorgehensweise der Basis-Absicherung kann angewendet werden, wenn die folgenden Voraussetzungen erfüllt sind: ein Informationssicherheitsprozess wurde initiiert, die Sicherheitsleitlinie und Informationssicherheitsorganisation wurden definiert, eine Übersicht der vorhandenen Assets der Institution wurde erstellt, die Basis-Absicherung wurde als IT- Grundschutz-Vorgehensweise ausgewählt. BSI-Standard 200-2, IT-Grundschutz-Methodik, V.1.0, S.61 34 ***Confidential - For Company Internal Use Only*** Vorgehensweise: Kern-Absicherung geeignet für Institutionen, die noch großen Handlungsbedarf im Bereich der Informationssicherheit haben der Fokus liegt auf der Absicherung der kritischen Assets nachfolgend kann ein breites Sicherheitskonzept umgesetzt werden (Standard-Absicherung) BSI-Standard 200-2, IT-Grundschutz-Methodik, V.1.0, S.68 35 ***Confidential - For Company Internal Use Only*** Vorgehensweise: Standard-Absicherung Ziel der Standard- Absicherung ist es, eine pragmatische und effektive Vorgehensweise zur Erzielung eines normalen Sicherheitsniveaus anzubieten. dient als Basis für ein höheres Sicherheitsniveau umfasst den P-D-C-A-Zyklus sowie den zweiten GS-Check BSI-Standard 200-2, IT-Grundschutz-Methodik, V.1.0, S.76 36 ***Confidential - For Company Internal Use Only*** Vorarbeiten: Vorgehensweise und Geltungsbereich festlegen Formulierung von Sicherheitszielen und einer Leitlinie zur Ermittlung von Rahmenbedingungen Informationssicherheit Aufbau einer Festlegung einer Vorgehensweise und Informationssicherheitsorganisation Anwendungsbereich für das ISMS 37 ***Confidential - For Company Internal Use Only*** BSI-Standard BSI-Standard 200-1 200-3 BSI-Standard 200-2 BSI-Standard 200-3 IT-Grundschutz-Kompendium 38 ***Confidential - For Company Internal Use Only*** Zielsetzung: BSI-Standard 200-3 Methodik zur Erstellung einer Risikoanalyse nach BSI IT-Grundschutz Beschreibt die notwendigen risikobezogenen Arbeitsschritte im Rahmen der Umsetzung nach BSI IT- Grundschutz Deutlich reduzierter Aufwand im Vergleich zu einer Risikoanalyse im Vergleich zur ISO 31000 oder ISO 27005 Zielgruppe sind Unternehmen oder Behörden, die bereits erfolgreich mit der IT-Grundschutz-Methodik arbeiten und möglichst direkt eine Risikoanalyse an die IT-Grundschutz-Analyse anschließen möchten. 39 ***Confidential - For Company Internal Use Only*** Risikoanalyse nach 200-3: Übersicht der Methodik 40 ***Confidential - For Company Internal Use Only*** Risikoanalyse nach BSI 200-3: Vorarbeiten Fragestellungen und Managemententscheidungen Unter welchen Voraussetzungen muss in jedem Fall eine Risikoanalyse durchgeführt werden? Welche Methodik beziehungsweise welcher Standard wird dazu eingesetzt? Wie wird die gewählte Methodik auf die speziellen Belange der Institution angepasst? Was sind die Risikoakzeptanzkriterien? Welche Organisationseinheiten sind für welche Teilaufgaben der Risikoanalyse verantwortlich? Auf welche Weise werden Risikoanalysen in den Sicherheitsprozess integriert? Welche Berichtspflichten bestehen im Rahmen von Risikoanalysen? In welchem Zeitrahmen muss die Risikoanalyse vollständig aktualisiert werden? 41 Wo finde ich die Standards und wie sehen die aus? 42 ***Confidential - For Company Internal Use Only*** IT-Grundschutz- BSI-Standard 200-1 Kompendium BSI-Standard 200-2 BSI-Standard 200-3 IT-Grundschutz-Kompendium 43 ***Confidential - For Company Internal Use Only*** BSI IT-Grundschutz-Kompendium nach 200-2 IT-Grundschutz-Kompendium Zusammen mit den -Standards bildet das Kompendium die Basis für alle, die sich umfassend mit dem Thema Informationssicherheit befassen möchten. IT-Grundschutz-Bausteine Zentrale Bestandteile des Kompendium und erläutern mögliche Gefährdungen also auch wichtige Sicherheitsanforderungen Aufbau Die -Grundschutz-Bausteine sind in zehn unterschiedliche Schichten aufgeteilt und reichen thematisch von Anwendungen (APP) über Industrielle (IND) bis hin zu Sicherheitsmanagement (ISMS) Jährliche Aktualisierung ganzjährig Entwürfe Das Kompendium wird jährlich im Februar in einer neuen Edition veröffentlicht. Das BSI stellt ganzjährig ganzjährig Entwürfe Entwürfe von Bausteinen zur Verfügung, die von Anwendern kommentiert werden können. 44 ***Confidential - For Company Internal Use Only*** BSI IT-Grundschutz-Kompendium: Struktur (1) Die prozessorientierten Bausteine sind in die folgenden Schichten gruppiert: ISMS (Managementsysteme für Informationssicherheit) ORP (Organisation und Personal) CON (Konzepte) OPS (Betrieb) DER (Detektion und Reaktion) Die systemorientierten Bausteine sind in die folgenden Schichten gruppiert INF (Infrastruktur) BSI IT-Grundschutz-Kompendium, Edition 2022, S. 23 NET (Netze und Kommunikation) SYS (IT-Systeme) APP (Anwendungen) IND (Industrielle IT) 45 ***Confidential - For Company Internal Use Only*** BSI IT-Grundschutz-Kompendium: Struktur (2) 46 ***Confidential - For Company Internal Use Only*** Formulierung der Anforderungen nach 200-2 DARF NICHT / DARF SOLLTE NICHT / MUSS / DARF NUR SOLLTE KEIN SOLLTE KEIN Dieser Ausdruck Dieser Ausdruck Dieser Ausdruck Dieser Ausdruck bedeutet, dass es bedeutet, dass bedeutet, dass eine bedeutet, dass sich um eine etwas in keinem Anforderung etwas Anforderung Fall getan wer den normalerweise normalerweise handelt, die darf erfüllt werden nicht getan unbedingt erfüllt (uneingeschränktes muss, es aber werden sollte, es werden muss Verbot). Gründe geben aber Gründe gibt, (uneingeschränkte kann, dies doch dies doch zu tun. Anforderung). nicht zu tun. Dies Dies muss aber muss aber sorgfältig sorgfältig abgewogen und abgewogen und stichhaltig stichhaltig begründet werden. begründet werden. 47 ***Confidential - For Company Internal Use Only*** BSI IT-Grundschutz-Kompendium: Umsetzungshinweise als Orientierung Das IT-Grundschutz-Kompendium nähert sich der Vorgehensweise der nativen ISO/IEC 27001-Norm an. Aufgrund des Paradigmenwechsels von bisherigen Maßnahmen zu Anforderungen fehlt im Rahmen der Umstellung zunächst der Nachweis (Dokumentation), wie die Anforderungen umgesetzt sind. Hierzu gibt es die Umsetzungshinweise. Sie dienen als Orientierungshilfe. 48 ***Confidential - For Company Internal Use Only*** Benutzerdefinierte Bausteine Sind individuell angepasste Module, die für die spezifischen Bedürfnisse und Anforderungen einer bestimmten Organisation oder eines bestimmten Systems erstellt wurden. Das BSI stellt WORD-Vorlagen zur Erstellung eigener benutzerdefinierter Bausteine und Umsetzungshinweise zur Verfügung. Ein benutzerdefinierter Baustein sollte im Grunde die gleiche Struktur wie ein Standard- Baustein haben und ähnliche Informationen enthalten, wie z.B. eine Beschreibung des Bausteins, die zu beachtenden Gefährdungen, sowie geeignete Sicherheitsmaßnahmen. Es empfiehlt sich zuerst mit dem IT Grundschutz Referat des BSI in Verbindung zu setzen. Die Kolleginnen und Kollegen können dann prüfen, ob zu der angedachten Thematik schon ein Baustein in Bearbeitung ist, um redundante Inhalte zu vermeiden. 50 ***Confidential - For Company Internal Use Only*** IT-Grundschutz-Profile: Schablonen für die Informationssicherheit In einem IT-Grundschutz-Profil werden die einzelnen Schritte eines Sicherheitsprozesses für einen definierten Anwendungsbereich dokumentiert, dazu gehören: Basis-Absicherung in IT-Grundschutz-Profil IT-Grundschutz-Profil Festlegung des Anwendungsbereichs der für einen großen IT- für Kommunalverwaltung Dienstleister Handwerkskammern Durchführung einer verallgemeinerten Autor: kommunale Autor: Christoph Autor: Strukturanalyse, Schutzbedarfsfeststellung und Arbeitsgruppe „Modernisierung des IT- Möhring Handwerkskammer in Kooperation mit dem Modellierung für diesen Bereich Grundschutzes“ Deutschen Handwerkskammertag (DHKT) Auswahl und Anpassung von umzusetzenden IT- Grundschutz-Bausteinen sowie Beispiele von veröffentlichten IT-Grundschutz- Beschreibung spezifischer Profilen. 10+ weitere Profile über BSI IT- Sicherheitsanforderungen und -maßnahmen Grundschutz-Profile Übersicht 51 Wie sieht eigentlich das Kompendium in echt aus? 52 ***Confidential - For Company Internal Use Only*** Aufrechterhaltung und kontinuierliche Verbesserung der Informationssicherheit Eines das Hauptziele des Sicherheitsmanagements besteht darin, das gewünschte Sicherheitsniveau nicht nur zu erreichen, sondern auch kontinuierlich zu bewahren und zu optimieren. Daher ist es unerlässlich, den Sicherheitsprozess und die organisatorischen Strukturen für die Informationssicherheit regelmäßig auf ihre Angemessenheit, Wirksamkeit und Effizienz zu überprüfen. Es ist ebenfalls wichtig zu bewerten, ob die Maßnahmen des Sicherheitskonzepts weiterhin zum Informationsverbund passen, ob sie praxisorientiert sind und ob sie korrekt implementiert wurden. Ein weiterer Teil dieses Prozesses ist auch die Überlegung zu führen, ob der gewählte Ansatz ergänzt oder erweitert werden sollte, zum Beispiel von einer grundlegenden Basis-Absicherung auf eine Standard- oder der Kernabsicherung zu wechseln. Ggf. nur für bestimmte Geltungsbereiche einer Institution. 53 ***Confidential - For Company Internal Use Only*** Leitfragen für die Überprüfung & Kennzahlen Zur Effizienzprüfung und Verbesserung des Informationssicherheitsprozesses sollten Verfahren und Mechanismen eingerichtet werden, die einerseits die Realisierung der beschlossenen Maßnahmen und andererseits ihre Wirksamkeit und Effizienz überprüfen. Welche Ziele in welcher Form und sinnvoller Anzahl überwacht oder gemessen werden (WAS)? Wer für die Überwachung oder Messung der zuvor festgelegten Punkte verantwortlich ist (WER)? Wann und wie häufig die Ergebnisse auszuwerten sind (WANN)? Kennzahlen werden in der Informationssicherheit eingesetzt, um den IS-Prozess bzw. Teilaspekte davon messbar zu machen. Beispiele können sein: Anzahl Sicherheitsvorfälle, Systemausfälle oder Phishing Awareness der Mitarbeiter. Im Vorfeld sollte klar sein, welches Ziel mit den Messungen verfolgt wird und wie und mit welchem Aufwand dies erreicht werden soll. 54 ***Confidential - For Company Internal Use Only*** Aufwände richtig schätzen Die Abschätzung des Aufwands im Rahmen des Umsetzungsplans nach BSI IT-Grundschutz erfordert eine sorgfältige Planung und Berücksichtigung verschiedener Faktoren: Identifikation der Maßnahme und Aufgaben Benötigte Zeit Benötigte Ressourcen Identifikation von Risiken Aufgaben sollten priorisiert werden basierend auf ihrer Wichtigkeit und Dringlichkeit. Dies kann helfen, Ressourcen effektiv zu nutzen und sicherzustellen, dass die wichtigsten Aufgaben zuerst erledigt werden. Pläne sollten regelmäßig überprüft und angepasst werden, wenn sich die Umstände ändern. Dies kann dazu beitragen, dass der Plan realistisch und machbar bleibt. 55 ***Confidential - For Company Internal Use Only*** Reifegradmodell Reifegrad 5. ISMS wird regelmäßig verbessert Reifegrad 4. ISMS wird regelmäßig auf Effektivität geprüft Reifegrad 3. ISMS voll etabliert & dokumentiert Reifegrad 2. ISMS teilweise etabliert Reifegrad 1. ISMS geplant, aber nicht etabliert Reifegrad 0. Nichts vorhanden oder geplant 56 ***Confidential - For Company Internal Use Only*** Überprüfungsverfahren des ISMS und Verbesserung der Informationssicherheit Interne Audits: Regelmäßige interne Überprüfungen des ISMS zur Sicherstellung der Konformität mit den Anforderungen des IT-Grundschutzes. Überprüfung des Realisierungspläne ob Maßnahmen wie geplant umgesetzt werden. Wirksamkeitsprüfungen der umgesetzten Maßnahmen und die Durchführung von Sicherheitsrevisionen (IS-Revision). Externe Audits: Unabhängige, externe Audits zur Überprüfung der Konformität des ISMS mit den Anforderungen des IT-Grundschutzes und zur Erlangung oder Aufrechterhaltung einer Zertifizierung. Managementbewertung: Das Management überprüft das ISMS in regelmäßigen Abständen auf seine fortlaufende Eignung, Angemessenheit und Wirksamkeit. Reaktion auf Sicherheitsvorfälle: Implementierung von Prozessen zur Identifizierung, Bewertung und Behandlung von Sicherheitsvorfällen. Das Lernen aus Sicherheitsvorfällen zur Verbesserung des ISMS. 57 ***Confidential - For Company Internal Use Only*** Beispiel für einen kontinuierlichen Verbesserungsprozess (KVP) 1. Planen (Plan): Das Unternehmen identifiziert zunächst die Bereiche, in denen Verbesserungen in Bezug auf Informationssicherheit erforderlich sind. Dies könnte durch interne Audits, Kundenfeedback oder die Analyse von Sicherheitsvorfällen erfolgen. Es legt dann spezifische Ziele fest, die es erreichen möchte, und plant die Maßnahmen, die es ergreifen wird, um diese Ziele zu erreichen. 2.Umsetzen (Do): Das Unternehmen führt die geplanten Maßnahmen aus. Dies könnte die Implementierung neuer Sicherheitstechnologien, die Schulung von Mitarbeitern oder die Änderung von Prozessen beinhalten. 3.Überprüfen (Check): Nach der Umsetzung der Maßnahmen überprüft das Unternehmen, ob die gewünschten Ergebnisse erzielt wurden. Dies könnte durch weitere interne Audits, die Überprüfung von Sicherheitslogs oder die Analyse von Kundenfeedback erfolgen. 4.Handeln (Act): Basierend auf den Ergebnissen der Überprüfung entscheidet das Unternehmen, ob weitere Verbesserungen erforderlich sind. Wenn die Maßnahmen erfolgreich waren, werden sie zu einem festen Bestandteil des ISMS. Wenn sie nicht erfolgreich waren, wird der Prozess erneut durchlaufen, um alternative Maßnahmen zu identifizieren und umzusetzen. → Dieser Zyklus wird kontinuierlich wiederholt, um sicherzustellen, dass das ISMS ständig verbessert und an sich ändernde Sicherheitsbedrohungen angepasst wird. 58 ***Confidential - For Company Internal Use Only*** Offene Fragen? 59

Academy Deck Modul 2 PDF

Document Details

Tags

Related

Summary

Full Transcript

Upgrade to continue