Buffl
Buffl
Datenschutz

Managementsysteme

JB
by James B.

Management-System

→ dient dazu, wesentliche Ziele für ein Thema zu ermitteln, zu erreichen und zu überwachen

Typische Merkmale:

  1. Formulierung von Zielen in Form Leitlinien

  2. Analyse von Risiken und Chancen für diese Ziele

  3. Definition von Rollen und Verantwortlichkeiten

  4. Vermittlung von Methoden oder Verfahren

  5. Festlegung von Regelwerken oder Richtlinien für Betroffene

  6. Planung und Umsetzung von Prozessen und Maßnahmen

  7. Planung, Durchführung und Auswertung von Überprüfungen der Zielerreichung

Schnittmengen Informationssicherheits- & Datenschutzmanangement (Managementsystem)

Managementsysteme:

  • Verbund aller organisatorischen und technischen Einrichtungen um ein Ziel zu erreichen

  • Risikoanalyse

  • Definition von Rollen und Zuständigkeiten

  • Definition von Prozessen

  • Prüfung der Zielerreichung

ISMS

Informations-Sicherheit-Management-System

Wichtige Aufgaben:

  • Formulierung von (Sicherheits-)Zielen

  • Bestimmung der Assets

  • Risikobeurteilung

  • Risikobehandlung

  • kontinuierliche Verbesserung


Die ISO 2700X Normenreihen sowie der BSI-200-X Reihe beschreiben Anforderungen an ein System zum Management der Informationssichert!


Sicherheitskonzept (7 Stichpunkte)

Geeignete technische und organisatorische Maßnahmen nötig:

  1. Maßnahmen zur physischen Absicherung von Gebäuden und Räumlichkeiten

  2. technische Vorkehrungen zur Absicherung der Schnittstellen eines Netzes und seiner Segments

  3. Regelungen zum Umgang mit klassifizierten Informationen

  4. ein geeignetes Identitäts- und Berechtigungsmanagement

  5. die Anwendung kryptographischer Maßnahmen

  6. ausreichende Datensicherungsverfahren

  7. Verfahren zur Erkennung und Abwehr von Schadsoftware

Erstellung eines IT-Sicherheitskonzepts (4 Überpunkte)

Auswahl der IT-Sicherheitsmaßnahmen:

  • Physisch

  • Organisatorisch

  • Personell

  • IT-bezogen

Erstellen von Systemsicherheitspolitiken:

  • PC-Sicherheitspolitik

  • Netzsicherheitspolitik

  • Internetsicherheitspolitik

  • Social-Media Politik

Risikoakzeptanz:

  • Akzeptanz Restrisiko

  • Ergreifen weiterer Maßnahmen

  • Abwälzen des Restrisikos (Versicherungen)

Erstellen des IT-Sicherheitsplans:

  • Prioritätenplan

  • Ressourcenplan

  • Zeitplan

  • Festlegung Kontrollmechanismen

BSI-Grundschutz

BSI-Standard 200-1:

Managementsysteme für IT-Sicherheit (ISMS)

  • Managementprinzipien, -pflichten und reibungsloser Informationsfluss

  • Ressourcen

  • Mitarbeiter

  • Sicherheitsprozess

    Sicherheitszielen und einer davon abgeleiteten Sicherheitsstrategie → Sicherheitskonzept

Ausgestaltung unter

BSI-Standard 200-2:

IT-Grundschutzvorgehensweise

  • Einführung eines ISMS

ISO 27001 - Leitlinie

Security Policy - bzw. Sicherheitsleitlinie

  • Dokumentation von Zielen, Zuständigkeiten, Ressourcen, etc.

  • Abstraktes “Management-Dokument”

  • Sicherheitsziele:

    z.B. Vertraulichkeit, Integrität und Verfügbarkeit

  • Vertraulichkeit:

    Informationen sollen nur autorisierten Personen zugänglich sein

  • Integrität:

    Nur autorisierte Änderungen an Daten sind erlaubt

  • Verfügbarkeit:

    Daten, Systeme und Services müssen für autorisierte Zwecke schnell verfügbar sein,

    akzeptable Verzögerungen sind zulässig


ISO 27001 - Leitlinie

(Schaubild)



ISO 27001 - Begriffe

  1. Sicherheits-Notfall

    • Sicherheitsvorfall mit gravierenden oder sogar katastrophalen Auswirkungen auf die Sicherheit

  2. Ereignis (Event)

    • Jeder Änderung des Zustands einer Informationsverarbeitung im Rahmen der Risikobeurteilung

  3. Sicherheitsereignis (Security Event)

    • hat Auswirkungen auf die Sicherheit

  4. Assets

    • Alles, was für eine Organisation einen Wert darstellt,

      z.B. Grundstücke, Gebäude, Maschinen und Anlagen, Geschäftsprozesse etv.

    • Information Assets wie Daten, Systeme, Anwendungen, IT-Services

    • Soft Assets:

      z.B. Image/ Kreditwürdigkeit

  5. Sicherheitsvorfall (Security Incident)

    • Ereignis, bei dem eine hohe Warhscheinlichkeit für Auswirkungen auf die Sicherheit besteht

    • Unterscheidung zwischen Events und Incidents


ISO 27005 - Risiken:

Risiko

  • Möglicher Eintritt von Sicherheitsereignissen in der Informationssicherheit

  • Kombination aus Eintrittswahrscheinlichkeit und Schadenhöhe

  • Eintreten, wenn Schwachstellen vorhanden sind (konstruktive bzw. operative Schwachstellen)


ISO 27005 - Risiken:

Risikoidentifizierung

  • Ermittlung von Risiken für Informationswerte der Organisation

  • Zusammenarbeit mit Verantwortlichen (Asset Owner bzw. Risk Owner) für die Informationswerte

ISO 27005 - Risiken:

Risikobewertung

  • Feststellung der Auswirkungen eines Risikos auf die Organisation

  • oft durch Bewertung mit Stufen wie:

    • TOLERABEL

    • MITTEL

    • HOCH

    • KATASTROPHAL

ISO 27005 - Risiken:

Risikoanalyse

  • Abschätzung von Schadenhöhe und Eintrittshäufigkeit

  • Festlegung des Risikos in eine Risikoklasse


ISO 27005 - Risiken:

Risikobeurteilung

Zusammenfassung aus:

  • Risikoidentifizierung

  • - analyse

  • - bewertung


ISO 27005- Risikobehandlung

→ Optionen und Sicherheitsmaßnahmen zur Behandlung ermittelter Risiken

Typische Optionen zur Risikobehandlung:

  1. Risikoakzeptanz

    man übernimmt einfach das Risiko ohne weitere Maßnahmen

  2. Risikoverlagerung

    z.B. durch Verlagerung der betroffenen Informationsverarbeitung an einen sicheren Ort, etwa an einen qualifizierten Dienstleister, oder durch Versicherung der möglichen Schäden

  3. Risikoreduktion

    z.B. durch Einsatz geeigneter Sicherheitsmaßnahmen

  4. Risikobeseitigung

    • z.B. durch Änderung des fraglichen Geschäftsprozesses (GP) und der unterstützenden IT

    • oder durch Einstellung des risikoreichen GP


ISO 27001 - Controls/ Maßnahmen

Control

  • Sicherheitsanforderungen, die eine Organisation zu erfüllen hat

    • immer dann, wenn die betreffende Anforderung im geschäftlichen Umfeld der Organisation relevant ist

      →wenn als irrelevant betrachtet, ist dies zu begründen

Praktische Vorgehensweise

  • Tabelle, in der ersten Spalte die 114 Controls eingetragen

  • für jedes Top Level Asset eine weitere Spalte

    • Für jedes Asset und jedes Control wird in das entsprechende Feld eingetragen, ob das Control relevant ist

  • Zentraler Baustein für die Risikobehandlung

  • Ableitung von Kostenschätzungen, die wiederum in den Genehmigungsprozesss bei der Leitung einfließen müssen

  • Zfs dieser Daten wird als Statement of Applicability (SoA) bezeichnet


Informationssicherheits vs. Datenschutz



Schnittmengen Informationssicherheit & Datenschutzmanagement



Schutzziele IS/DS



Integration DSMS mit ISMS

Synergieeffekte durch Integration:

  • Gemeinsame Sensibilisierungsmaßnahmen

  • Dokumentation von TOMs und Abläufen

  • einheitliche Prozesse zur Gewährleistung von Informationssicherheit

Abdeckung von Rechenschaftspflichten:

  • Definierung von Zuständigkeiten

  • Schaffung fachlicher Qualifikationen

  • Erstellung von Richtlinien und Aufbau eines Berichtswesens im Rahmen eines ISMS deckt Großteil der Rechenschaftspflichten nach EU-DSGVO ab

Vermeidung von Doppelungen:

  • Trennung führt zur Doppelbesetzung gleicher Funktionen und doppelten Dokumentationsaufwand

Wirtschaftlichkeit:

  • Integration weiterer Datenschutzmaßnahmen in vorhandenes ISMS oft wirtschaftlicher als Aufbau eines separaten Managementsystems

Positive Auswirkungen auf Geschäftspartner und Kunden:

  • Nachweis der Umsetzung eines Managementsystems stärkt Vertrauen und vermittelt professionellen Eindruck gegenüber Geschäftspartnern und Kunden

Join Course
Preview

Author

James B.

Information

Last changed

Report course
© 2023 Buffl GmbH