Bundesamt für Sicherheit in der Informationstechnik

B 1.16 Anforderungsmanagement

Logo Anforderungsmanagement

Beschreibung

In jeder Institution gibt es aus den verschiedensten Richtungen gesetzliche, vertragliche, strukturelle und interne Richtlinien und Vorgaben, die beachtet werden müssen. Viele davon haben direkte oder indirekte Auswirkungen auf das Informationssicherheitsmanagement. Die Anforderungen sind je nach Branche, Land und anderen Rahmenbedingungen unterschiedlich. Weiterhin unterliegt beispielsweise eine Behörde anderen externen Regelungen als eine Aktiengesellschaft. Die Leitungsebene der Institution muss die Einhaltung der Anforderungen durch angemessene Überwachungsmaßnahmen sicherstellen (neudeutsch: Compliance).

Ziel des Anforderungsmanagements ist es, jederzeit den Überblick über die verschiedenen Anforderungen an die einzelnen Bereiche der Institution zu haben und geeignete Maßnahmen zu identifizieren und umzusetzen, um Verstöße gegen diese Anforderungen zu vermeiden.

Diese Aufgabe wird typischerweise an einen Mitarbeiter übertragen. Die Rolle wird im Folgenden mit Anforderungsmanager bezeichnet. In einigen Unternehmen wird z. B. auch die Bezeichnung Compliance Manager benutzt. Sofern dies nicht durch andere Regelungen vorgeschrieben ist, müssen hierfür aber keine neuen Stellen geschaffen werden. Die Aufgabe kann beispielsweise vom Sicherheitsmanagement, der Revision, dem Controlling oder dem Justitiariat mit übernommen werden.

Je nach Größe einer Institution kann diese verschiedene Managementprozesse haben, die sich mit unterschiedlichen Aspekten des Risikomanagements beschäftigen, z. B. Sicherheitsmanagement, Datenschutzmanagement, Anforderungsmanagements, Controlling. Diese sollten vertrauensvoll zusammenarbeiten, um Synergieeffekte zu nutzen und Konflikte frühzeitig auszuräumen.

In diesem Baustein werden ausgewählte Anforderungen betrachtet, die Auswirkungen auf die Gestaltung der Informationssicherheit in der Institution haben.

Gefährdungslage

Stellvertretend für alle Gefährdungen im Umfeld des Anforderungsmanagements wird in diesem Baustein die folgende typische Gefährdung betrachtet:

Organisatorische Mängel

G 2.105 Verstoß gegen gesetzliche Regelungen und vertragliche Vereinbarungen

Maßnahmenempfehlungen

Um den betrachteten Informationsverbund abzusichern, müssen zusätzlich zu diesem Baustein noch weitere Bausteine umgesetzt werden, gemäß den Ergebnissen der Modellierung nach IT-Grundschutz.

Im Rahmen des Anforderungsmanagements ist eine Reihe von Maßnahmen umzusetzen, beginnend mit der Konzeption über den Aufbau geeigneter Organisationsstrukturen bis hin zur regelmäßigen Revision. Die Schritte, die dabei zu durchlaufen sind, sowie die Maßnahmen, die in den jeweiligen Schritten beachtet werden sollten, sind im Folgenden aufgeführt.

Planung und Konzeption

Es sollten Prozesse und Organisationsstrukturen etabliert sein, um den Überblick über die verschiedenen Anforderungen zu gewährleisten (siehe M 2.439 Konzeption und Organisation des Anforderungsmanagements ). Neben den externen Regelungen, die die Institution betreffen, müssen auch die internen Richtlinien und Anforderungen definiert und transparent sein. Eine wichtige Grundlage, um alle geschäftsrelevanten Informationen, Geschäftsprozesse und Systeme angemessen abzusichern, ist die Einstufung von deren Schutzbedarf (siehe M 2.217 Sorgfältige Einstufung und Umgang mit Informationen, Anwendungen und Systemen ). In der Folge leiten sich daraus konkrete Sicherheitsvorgaben für diese Objekte ab.

Umsetzung

Die identifizierten Anforderungen werden durch die Managementprozesse der Institution, insbesondere auch durch den Sicherheitsprozess, umgesetzt. Mitarbeiter, aber auch Besucher und externe Dienstleister müssen auf ihre Sorgfaltspflichten im Umgang mit Informationen und IT-Systemen hingewiesen werden, bevor sie Zugang oder Zugriff darauf erhalten (siehe M 3.2 Verpflichtung der Mitarbeiter auf Einhaltung einschlägiger Gesetze, Vorschriften und Regelungen ).

Betrieb

Die Sicherheitsvorgaben, die die Institution zur Erfüllungen der Anforderungen erstellt hat, müssen dauerhaft eingehalten werden. Dies sollte regelmäßig überprüft werden (siehe M 2.199 Aufrechterhaltung der Informationssicherheit ). Sowohl die eigenen Regelungen als auch die rechtlichen Rahmenbedingungen, denen eine Institution unterliegt, können sich ändern. Dies muss im Rahmen des Anforderungsmanagements berücksichtigt werden (siehe M 2.340 Beachtung rechtlicher Rahmenbedingungen ).

Nachfolgend wird das Maßnahmenbündel für den Bereich "Anforderungsmanagement" vorgestellt.

Planung und Konzeption

M 2.163 (A) Erhebung der Einflussfaktoren für kryptographische Verfahren und Produkte
M 2.205 (C) Übertragung und Abruf personenbezogener Daten
M 2.439 (C) Konzeption und Organisation des Anforderungsmanagements

Umsetzung

M 3.2 (A) Verpflichtung der Mitarbeiter auf Einhaltung einschlägiger Gesetze, Vorschriften und Regelungen
M 4.99 (C) Schutz gegen nachträgliche Veränderungen von Informationen

Betrieb

M 2.199 (A) Aufrechterhaltung der Informationssicherheit
M 2.217 (B) Sorgfältige Einstufung und Umgang mit Informationen, Anwendungen und Systemen
M 2.340 (A) Beachtung rechtlicher Rahmenbedingungen
M 2.380 (C) Ausnahmegenehmigungen
M 3.26 (A) Einweisung des Personals in den sicheren Umgang mit IT

Stand: 11. EL Stand 2009

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK