Schlagwortarchiv für: BSI IT-Grundschutz

In einem vorgehenden Beitrag habe ich einen kurzen Überblick über die beiden Ebenen der Wirksamkeitsmessung im Informationssicherheits-Managementsystem (ISMS) gegeben: Wirksamkeit des Managementsystems und Wirksamkeit der Maßnahmen der Informationssicherheit. Dieser Artikel vertieft den Aspekt der Wirksamkeit des Managementsystems.

Wirksamkeit des Managementsystems

Jedes bedeutende Rahmenwerk zur Informationssicherheit, gleich ob ISO 27001, BSI IT-Grundschutz oder ein anderes Regelwerk, beschreibt ein Managementsystem. Sollen die gesteckten Ziele erreicht werden, muss das Managementsystem als System funktionieren. Dieses Funktionieren muss also sichergestellt und daher überprüft werden. Am Beispiel der ISO 27001:2013 möchte ich dies illustrieren.

Die ISO 27001:2013 nennt in Kapitel 9 drei verpflichtende Handlungsfelder zur Bewertung der Leistung:

  1. Überwachung, Messung, Analyse und Bewertung
  2. Interne Audits
  3. Managementbewertung

Den Punkten “Interne Audits” und “Managementbewertung” werden wir uns in einem späteren Artikel widmen. Hier soll es um den ersten Punkt “Überwachung, Messung, Analyse und Bewertung” gehen.

Die ISO 27001:2013 fordert: “Die Organisation muss … die Wirksamkeit des Informationssicherheits-Managementsystems bewerten.” Dazu muss überwacht und gemessen werden. An zwei Beispielen für zu überwachende und zu messende Teile des ISMS soll das dargestellt werden:

  1. Ressourcenverbrauch
  2. Reviews von Richtlinien

Ressourcenverbrauch

Gemessen werden kann in regelmäßigen Abständen, z.B. monatlich, der Verbrauch bestimmter Ressourcen wie beispielsweise Arbeitszeit oder Budget für externe Beratung. In der Analyse können diese gemessenen Werte ins Verhältnis zu den jeweiligen Plandaten gesetzt und dann entsprechend bewertet werden. Ist zur Jahresmitte beispielsweise erst ein Viertel der für das Jahr geplanten Arbeitszeit verschrieben, kann dies ein Indiz sein, dass zu wenig im und am ISMS gearbeitet wird. Eine solche Bewertung versetzt das Unternehmen dann in die Lage, rechtzeitig gegenzusteuern. Ein im Verhältnis zur abgelaufen Zeit zu hoher Arbeitszeiteinsatz kann ein Indiz für unzureichend eingeplante Ressourcen sein. Diese Information kann für den nächsten Planungszeitraum nützlich sein.

Die Bewertung muss dabei immer vor dem vorhandenen Hintergrundwissen “mit Verstand” erfolgen. Möglicherweise ist ja wegen eines größeren Projektes im zweiten Halbjahr kein gleichmäßiger Ressourcenverbrauch zu erwarten. Entscheidend bleibt daher immer die Bewertung der von Messung und Analyse durch den Menschen.

Reviews von Richtlinien

Viele Organisationen führen die notwendigen Reviews ihrer Richtlinien und sonstigen Dokumente über das Jahr verteilt durch. Zweck ist dabei eine kontinuierliche Beschäftigung mit den Dokumenten sowie die Vermeidung von “Review-Wochen”. Auch in diesem Fall liefert die Messung überfälliger Dokumente einen Hinweis auf bestehende Probleme und gibt so die Möglichkeit, rechtzeitig nachzusteuern. Die Ursachenanalyse könnte beispielsweise auf einen Ressourcenmangel hinweisen. Vielleicht haben die Verantwortlichen für das Review diese einfach vergessen. Der Einsatz eines Werkzeugs zur Erinnerung könnte hier hilfreich sein und das Funktionieren des ISMS an dieser Stelle unterstützen. Möglicherweise liegt es auch nur an mangelnder Motivation für eine ungeliebte Aufgabe ;-).

In einem späteren Artikel werde ich mich näher mit ausgesuchten Maßnahmen zur Informationssicherheit und der Möglichkeit ihrer Überwachung und Überprüfung beschäftigen.

Was Sie auch interessieren könnte:

Seminar:

„Wirksamkeitsmessung nach ISO 27004“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Entsorgungsbetriebe sind systemrelevant, das sollte allen klar sein. Das ist auch dem Bundesamt für Sicherheit in der Informationstechnik (BSI) bewusst. Daher sollen Entsorgungsbetriebe künftig nach IT-SiG 2.0 zu den kritischen Infrastrukturen gehören.

Durch die Pandemie hat sich gezeigt, dass auch die Entsorger vor neue Herausforderungen gestellt werden. Steigende Abfallmengen aus privaten Haushalten und durch die verminderte Produktion sinkende Abfallmengen aus den gewerblichen Bereichen. Daraus ergibt sich neben einer Wertstoffknappheit z.B. beim Papierrecycling (nichts rein-nichts raus) eine Verschiebung der Abfallströme. Mehr Hausmüll und weniger recyclingfähige Abfälle bringen die Lager und Anlagen der Entsorger z.T. jetzt schon an ihre Kapazitätsgrenzen.

Auch wenn es derzeit noch keine spürbaren Einschränkungen bei der Abfallentsorgung gibt, haben viele Unternehmen der Branche bereits vorgesorgt und flexible Regelungen zum Betriebsmanagement getroffen. Schichtbetrieb, Kleingruppen, räumliche Trennung, die Entsorgungsbetriebe haben schon viele Maßnahmen getroffen, um einen massiven Personalausfall durch COVID-19 Erkrankte zu vermeiden.

Die Einstufung der gesamten Entsorgungswirtschaft als systemrelevant ist in diesem Punkt ein wichtiges politisches Signal. Systemrelevanz ist das Stichwort, unter dem Einrichtungen und Betriebe zusammengefasst werden, die das grundlegende Funktionieren des öffentlichen Lebens aufrechterhalten. Das bringt aber für die Unternehmen auch neue Herausforderungen mit sich. Denn neben den Plänen, um einen Personalausfall zu verhindern muss mit der zukünftigen Einstufung als KRITIS auch der gesamte IT-gestützte Entsorgungsprozess betrachtet werden. Hier gibt es klare Anforderungen an die Betriebe wie das zu bewerten, umzusetzen und nachzuweisen ist.

Was Sie auch interessieren könnte:

Seminar:

„Informationssicherheit für Vorstände und Geschäftsführer“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Identifikation von Risiken

Im ersten Teil unserer Serie zum Risikomanagement im ISMS haben wir uns allgemein über den Stellenwert des Risikomanagements im ISMS nach ISO 27001 unterhalten. In diesem zweiten Teil soll es um die Risikoidentifikation gehen.

Grundlage der Risikoidentifikation sind die Werte bzw. die Informationswerte des Unternehmens. Ihre Inventarisierung ist ein Muss. Nun gilt es, Gefährdungen für diese Werte zu identifizieren. Ausgangspunkt hierfür können bestehende Gefährdungskataloge sein, wie sie z.B. im Anhang der ISO 27005 oder im BSI IT-Grundschutzkompendium dargestellt werden. In solchen Katalogen finden sich verständlicherweise nur allgemeine, für viele Organisationen zutreffende Gefährdungen wieder. Daher ist es notwendig, darüber hinausgehende spezifische Gefährdungen für die eigene Organisation und die eigenen Werte zu identifizieren.

Eine klassische Methode zur Identifikation spezifischer Risiken sind Experteninterviews. Experten sind dabei u.a. die Kollegen, die mit den gefährdeten Werten täglich zu tun haben, insbesondere auch die Werteverantwortlichen (asset owner i.S. der ISO 27011.2013 A.8.1.2). Sie kennen typische Gefahren und können diese benennen. So finden wir auch Risiken, die das zentrale Risikomanagement niemals entdeckt hätte. Zu Beginn, in den ersten Durchläufen des Risikomanagements, eignen sich gut freie Interviews, bei denen man die Experten „einfach mal reden lässt“. Später können diese Interviews strukturierter durchgeführt werden, was die Auswertung erheblich vereinfacht.

Ein Beispiel für eine geeignete Kreativmethode zur Risikoidentifikation ist die Kopfstandtechnik, auch Umkehrtechnik oder Flip-Flop-Technik genannt. Dabei geht es darum, einmal zu überlegen, wie man ein Risiko selbst herbeiführen bzw. verwirklichen könnte, z.B. „Was müssen wir tun, um erfolgreich Datenträger aus dem Unternehmen herauszuschmuggeln?“ Die Methode soll zum Entwickeln ungewöhnlicher Ansätze anregen und so Risiken sichtbar machen, auf die man aus der Verteidigersicht nicht oder nur schwer gekommen wäre. Und Spaß macht es auch noch, zumindest im Gedanken einmal der Bösewicht sein zu dürfen.

Die nächste Folge dieser Reihe wird sich mit der Analyse und Bewertung der identifizierten Risiken beschäftigen.

Was Sie auch interessieren könnte:

Seminar:

„Risikomanagement im ISMS“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Seit Februar 2019 gilt das IT-Grundschutz-Kompendium 2019 als Prüfgrundlage für Zertifizierungen nach ISO 27001 auf Basis von IT-Grundschutz. Daher sollten sich alle, die für die IT-Sicherheit in Unternehmen oder Behörden zuständig sind, mit den Neuerungen auseinandersetzen.
Auf der Webseite  des BSI findet sich eine entsprechende Ausarbeitung.

Hier eine kurze Übersicht:

Zu den bereits vorhandenen 80 IT-Grundschutz Bausteinen sind 14 neue dazugekommen:

• APP.1.4 Mobile Anwendungen (Apps)
• APP.2.3 OpenLDAP
• APP.4.2 SAP-ERP-System
• APP.4.6 SAP ABAP-Programmierung
• IND.2.7 Safety Instrumented Systems
• INF.6 Datenträgerarchiv
• NET.4.1 TK-Anlagen
• NET.4.2 VoIP
• NET.4.3 Faxgeräte und Faxserver
• OPS.2.2 Cloud-Nutzung
• SYS.1.7 IBM Z-System
• SYS.2.4 Clients unter macOS
• SYS.3.3 Mobiltelefon
• SYS.4.3 Eingebettete Systeme

Von den 80 vorhandenen IT-Grundschutz Bausteinen sind 36 überarbeitet worden, allerdings nur bei 25 wurden umfangreichere Änderungen vorgenommen, die man sich ansehen sollte. Eine entsprechende Unterteilung wurde bereits, zur besseren Übersicht, auf der Webseite vorgenommen.

Wer sich noch nicht so genau mit dem IT-Grundschutzkatalog auskennt, kann sich im Kompendium  informieren. Eine gute Übersicht für den Einstieg bietet auf dieser Seite auch die Mindmap.

Wer sich lieber beraten lassen möchte oder Unterstützung bei der Umsetzung benötigt, kann sich gern an uns wenden.

Sie erreichen uns unter info(at)anmatho.de | Tel.: +49 40 229 47 19 0

Schlagwortarchiv für: BSI IT-Grundschutz