Bei der IT-Sicherheit soll ein Schutz vor Bedrohungen hergestellt und das Risiko dieser auf ein akzeptables Maß gebracht werden. Wie das geht und wie Sie der NormTracker einfach, sicher und schnell dabei unterstützen kann, erklären wir Ihnen hier in wenigen Schritten.
Zu Beginn
Egal ob VdS 10000, ISO/IEC 27001 oder BSI IT-Grundschutz, am Anfang steht die Erstellung des ranghöchsten Dokuments des ISMS (Informationssicherheits-Managementsystem) – die Leitlinie oder auch IT-Sicherheitsleitlinie / IT Security Policy genannt.
Zweck der Leitlinie ist die Bekennung zur Einhaltung der Informationssicherheit. In Ihr werden zudem die verantwortlichen Personen sowie Ziele festgelegt.
Anschließend werden die Richtlinien sowie die dazugehörigen Verfahren zur Einhaltung dieser definiert.
Der NormTracker führt Sie spielendleicht durch diese Dokumente und hilft Ihnen bei der Erstellung. Zudem erhalten Sie Unterstützung durch Anforderungslisten aus der Norm, ein Aufgaben- sowie Gefahrenmanagement und ein Dokumentenstore. Die Anforderungslisten arbeiten Sie wie lebendige Checklisten ab. Darüber hinaus können Sie diese im Rahmen eines Audits als transparenten Erfüllungsnachweis der jeweiligen Norm nutzen.
Bestandsanalyse
Wissen, was abgesichert werden muss – Während der Bestandsanalyse werden alle IT Systeme, Anwendungen, Hard- und Software, aber auch IT-bezogene Prozesse aufgenommen, um einen Überblick der vorhandenen Ressourcen zu erhalten. Nur so können Sie den Schutzbedarf für Ihr Unternehmen wirklich ermitteln.
Durch die Bestandsanalyse wird der Stand der aktuell eingesetzten Technik und gegenwärtigen IT-Sicherheit transparent dargelegt. Noch leichter und schneller geht die Bestandsaufnahme, wenn Sie einen Prozess nach dem Nächsten durchgehen. Machen Sie sich am besten einen Plan, bei welchem Prozess Sie anfangen und bei welchem Sie aufhören möchten. So werden die noch so kleinsten eingesetzten IT Ressourcen ermittelt und nicht vergessen.
Die Bestandsanalyse ist für die Erstellung der IS-Richtlinien erforderlich und wichtig für die Ermittlung des Risikopotenzials sowie das Treffen späterer Maßnahmen. Sie können die Bestandsaufnahme auch von einem externen IT-Sicherheitsberater durchführen lassen, wenn Ihnen hierfür die Zeit und Fachkompetenz fehlen sollten.
Mit Hilfe des NormTrackers erfassen Sie alle IT-Systeme detailliert und übersichtlich und benennen die Verantwortlichkeiten. Weitere Features ermöglichen Ihnen die Überwachung, Risikobewertung und Aufgabenzuweisung. Das Tool führt Sie Schritt für Schritt durch die IS-Richtlinien und Verfahren.
Auswertung und Bewertung
Nach der Bestandsanalyse folgt die Auswertung der aufgenommenen Daten. Lokalisieren Sie die Schwachstellen und ordnen Sie diese, sodass eine priorisierte Abarbeitung möglich ist. Haben Sie die Gefährdungen mit dem höchsten Risiko bereits bewertet, lassen sich auch die Budgets für erforderliche Maßnahmen besser einplanen. Ein externer Informationssicherheitsbeauftragter (ISB) bietet sich in jedem Fall für diese Aufgabe an. Mit dem fachlichen Knowhow und der gesammelten Erfahrung, können die Gefährdungen noch realer eingeschätzt und bewertet werden.
Das Risiko einer erkannten Gefährdung wird sowohl durch die Festlegung der Wahrscheinlichkeit des Eintretens sowie der Tragweite bzw. Schadenshöhe bei Eintritt ermittelt. Hierfür bietet sich eine Entscheidungstabelle an, die Sie im NormTracker unternehmensspezifisch skalieren können.
(Abb. Risikoeinstellung im NormTracker)
Sobald Sie die IT-Systeme aufgenommen haben, können Sie in der gleichen Maske zentral und übersichtlich das Gefährdungspotenzial bestimmen und überwachen.
Planung und Umsetzung der Maßnahmen
Starten Sie mit der sorgfältigen Planung der erforderlichen Maßnahmen. Maßnahmen sind Aufgaben, die in erster Linie der Risikominimierung und Gefahrenbeherrschung dienen. Legen Sie für die Maßnahmen Verantwortlichkeiten, Plantermine und Intervalle fest, sofern diese wiederkehrend geprüft werden müssen. Arbeiten Sie alle Maßnahmen strukturiert im NormTracker ab. Der Umsetzungsfortschritt wird Ihnen einen optimalen Überblick des Abarbeitungsstands gegeben. Die in den Normen vorgegebenen Maßnahmen sind bereits im NormTracker integriert. Sie legen nur noch Plantermin und Verantwortlichen fest.
Wirksamkeitsprüfung
Einige Maßnahmen müssen regelmäßig wiederholt werden, andere finden einmalig statt, doch Tatsache ist, dass alle getroffenen und umgesetzten Maßnahmen in regelmäßigen Abständen validiert werden müssen. Anforderungen und Stand der Technik ändern sich fortlaufend, Angriffe werden immer raffinierter, Schutzsoftwaren werden laufend aktualisiert. Nehmen Sie sich ausreichend Zeit für die Wirksamkeitsprüfung der getroffenen Maßnahmen. Führen sie geplante Tests durch und protokollieren Sie die daraus resultierenden Ergebnisse sowie Erkenntnisse im NormTracker. Eventuell müssen Sie den Schutzbedarf verschärfen und weitere Maßnahmen definieren. Greift eine Maßnahme jedoch so gut, ist es auch möglich, dass Sie das Risiko einer Gefährdung im Nachhinein wieder herab setzen können.
Kontinuierlicher Verbesserungsprozess
Halten Sie sich bei den Schritten den PDCA-Zyklus (Plan – Do – Check – Act) vor Augen, der den kontinuierlichen Verbesserungsprozess beschreibt. Definieren Sie ein Best-Practice, mit dem Sie zukünftig festschreiben, welche Systeme eingesetzt werden dürfen und wie diese bewertet, überwacht und geprüft werden.
Generieren Sie sich per Klick Auditberichte und fangen Sie an IT-Sicherheit im Unternehmen zu leben.
Wussten Sie, dass ein Abonnement des NormTrackers auch eine fachliche Unterstützung durch einen unserer renommierten IT-Security Experten aus Ihrer Region beinhaltet?
Wenn Sie mehr zu diesem Thema wissen möchten, den NormTracker einsetzen oder in unsere Datenbank als IT-Security Experte aufgenommen werden möchten – Dann schreiben Sie uns eine Nachricht an hello@certvision.de oder rufen Sie uns an +49 (0) 911 14 885 202.
Über den Autor