Bundesamt für Sicherheit in der Informationstechnik

M 2.337 Integration der Informationssicherheit in organisationsweite Abläufe und Prozesse

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung

Verantwortlich für Umsetzung: Behörden-/Unternehmensleitung, IT-Sicherheitsbeauftragter

Informationssicherheit muss in alle Geschäftsprozesse integriert werden. Es muss dabei gewährleistet sein, dass nicht nur bei neuen Projekten, sondern auch bei laufenden Anwendungen alle erforderlichen Sicherheitsaspekte berücksichtigt werden.

Vor allem in größeren Institutionen existiert häufig bereits ein übergreifendes Risikomanagementsystem. Dabei sind operationelle Risiken inklusive der IT -Risiken integraler Bestandteil des Risikomanagements. Informationssicherheit ist ebenso eine grundlegende und prozessübergreifende Anforderung an Institutionen. Daher sollten die Methoden zum Management von Risiken aus dem Bereich der Informationssicherheit mit den bereits etablierten Methoden zum Risikomanagement abgestimmt werden. Wichtig ist, dass Arbeitsanweisungen oder Dienstvereinbarungen aus unterschiedlichen Bereichen einer Institution sich nicht widersprechen dürfen.

Der BSI -Standard 100-2 zur IT-Grundschutz-Vorgehensweise sowie die Bausteine der IT-Grundschutz-Kataloge enthalten ausführliche und konkrete Maßnahmenempfehlungen zur Organisation des Sicherheitsprozesses. Im Folgenden werden daher nur beispielhaft wichtige übergreifende Sicherheitsmaßnahmen kurz genannt:

Definition von Zuständigkeiten (Funktionstrennung)

Zuständigkeiten und Kompetenzen innerhalb der Informationssicherheitsorganisation (oder kurz IS-Organisation) müssen klar definiert und zugewiesen werden. Für alle wichtigen Funktionen sind zudem Vertretungsregelungen sicherzustellen.

Festlegung von Kommunikationswegen

Kommunikationswege müssen geplant, beschrieben, eingerichtet und bekannt gemacht werden. Es muss für alle Aufgaben und Rollen festgelegt sein, wer wen informiert, wer bei welchen Aktionen informiert werden und in welchen Umfang dies geschehen muss.

Zuweisung der Verantwortung für Geschäftsprozesse, Informationen, Anwendungen und IT-Systeme

Für alle wesentlichen Geschäftsprozesse, Informationen, IT-Systeme und Anwendungen, aber auch für Gebäude und Räume müssen verantwortliche Personen benannt werden. Je nach Bereich und Sprachgebrauch werden diese verantwortlichen Personen z. B. als Informationseigentümer, Geschäftsprozessverantwortliche oder Fachverantwortliche bezeichnet. Die Fachverantwortlichen müssen die Erarbeitung und Umsetzung der Sicherheitsstrategie unterstützen. Die Maßnahme M 2.225 Zuweisung der Verantwortung für Informationen, Anwendungen und IT-Komponenten gibt weitere Hinweise.

Integration der Mitarbeiter in den Sicherheitsprozess

Informationssicherheit betrifft ohne Ausnahme alle Mitarbeiter. Jeder Einzelne muss durch verantwortungs- und qualitätsbewusstes Handeln mithelfen, Schäden zu vermeiden, und zum Erfolg beitragen. Dies betrifft nicht nur die festangestellten Mitarbeiter, sondern alle, die innerhalb der Institution beschäftigt sind, also beispielsweise auch Pförtner und Praktikanten.

Ebenso sollten auch Personen einbezogen werden, die von außerhalb auf Geschäftsprozesse, Anwendungen oder IT-Systeme zugreifen, also z. B. mobile Mitarbeiter. Wichtige Sicherheitsmaßnahmen, die beim Personalmanagement zu beachten sind, also beginnend bei der Personalauswahl und Einstellung bis hin zum Wechsel in andere Bereiche oder dem Weggang aus der Institution, sind im Baustein B 1.2 Personal beschrieben.

Darüber hinaus müssen alle Mitarbeiter innerhalb ihres Aufgabenbereiches in die erforderlichen Sicherheitsmaßnahmen eingewiesen werden. Sie sollten regelmäßig für Sicherheitsaspekte sensibilisiert werden, um das Bewusstsein für Risiken und Schutzvorkehrungen im alltäglichen Umgang mit Informationen zu schärfen. Auch das Management muss in das Sensibilisierungskonzept einbezogen werden. Vertiefende Ausführungen hierzu finden sich im Baustein B 1.13 Sensibilisierung und Schulung zur Informationssicherheit .

Einbindung externer Dienstleister in den Sicherheitsprozess

Das Sicherheitsmanagement sollte einen Überblick besitzen über alle Arten von Dienstleistern, die Aufgaben für die Institution wahrnehmen. Dies können Dienstleistungen sein, die unmittelbar die Verarbeitung geschäftsrelevanter Informationen betreffen, wie der Betrieb eines Rechenzentrums, aber auch allgemeine Unterstützungsdienstleistungen wie Wachdienst. Hierbei spielt es keine Rolle, an welchem Standort die Dienstleistung erbracht wird (Institution oder Dienstleister).

Das Sicherheitsmanagement sollte für jeden Dienstleister einschätzen, ob dessen Tätigkeit sicherheitsrelevante Auswirkungen haben kann und welche Sicherheitsvorkehrungen in diesem Rahmen zu treffen sind. Werden IT-Systeme, Anwendungen oder Geschäftsprozesse zu einem externen Dienstleister ausgelagert, ist der Baustein B 1.11 Outsourcing anzuwenden. In die Sicherheitskonzeption müssen außerdem auch Mitarbeiter von Dienstleistern einbezogen werden, die über längere Zeit in den Räumlichkeiten der Institution Aufgaben wahrnehmen.

Einbeziehung von Sicherheitsaspekten in alle Geschäftsprozesse

Das Management muss einen Überblick über die geschäftskritischen Informationen, Fachaufgaben und Geschäftsprozesse haben. Die zuständigen Fachverantwortlichen und das Informationssicherheitsmanagement-Team müssen konkrete Regeln zum Umgang mit den relevanten Sicherheitsaspekten aufstellen (z. B. Schutzmaßnahmen, Klassifizierung und Kennzeichnung von Informationen).

Rechte und Berechtigungen

Zum Schutz der Werte müssen der Zutritt zu Räumen, der Zugang zu IT-Systemen und Anwendungen sowie der Zugriff auf Informationen geregelt werden. Nähere Informationen finden sich z. B. in den Maßnahmen M 2.6 Vergabe von Zutrittsberechtigungen , M 2.7 Vergabe von Zugangsberechtigungen , M 2.8 Vergabe von Zugriffsrechten und M 2.220 Richtlinien für die Zugriffs- bzw. Zugangskontrolle .

Änderungsmanagement

Änderungsmanagement beschäftigt sich mit der Planung von Änderungen an Hard- und Software sowie Prozessen. Es muss durch organisatorische Vorgaben sichergestellt werden, dass dabei Aspekte der Informationssicherheit berücksichtigt werden. Näheres findet sich z. B. in der Maßnahme M 2.221 Änderungsmanagement .

Konfigurationsmanagement

Konfigurationsmanagement umfasst alle Maßnahmen und Strukturen, die erforderlich sind, um den Zustand der betrachteten Objekte zu überwachen, beginnend von der Identifikation, über die Bestandsführung und Aktualisierung bis hin zur Außerbetriebnahme.

Betrachtete Objekte (Konfigurationselemente) können dabei ganze Infrastrukturbereiche, konkrete Anwendungen und IT-Systeme, aber auch einzelne Komponenten davon (beispielsweise Dokumentationen) sein.

Im Rahmen des Konfigurationsmanagements müssen Prozesse und Regelungen eingeführt werden, die beschreiben, wie Informationen über die Eigenschaften der eingesetzten Konfigurationselemente sowie Informationen über sicherheitsrelevante Störungen, Probleme und Änderungen im Zusammenhang mit Konfigurationselementen verwaltet werden. Typische Tätigkeiten sind beispielsweise die Aktualisierung der Liste der IT-Systeme oder die Anpassung von sicherheitsrelevanten Dokumentationen nach Änderungen von Geschäftsprozessen oder Anwendungen. Empfehlungen zum Konfigurationsmanagement finden sich in Baustein B 1.9 Hard- und Software-Management .

Prüffragen:

  • Wird der IT -Sicherheitsbeauftragte bzw. das Informationssicherheitsmanagement-Team an sicherheitsrelevanten Entscheidungen ausreichend beteiligt?

  • Ist geregelt, dass das Sicherheitsmanagement in alle Prozesse und Entwicklungen eingebunden ist, die für die Informationssicherheit relevant sind?

  • Sind Zuständigkeiten und Kompetenzen innerhalb der Organisationsstrukturen für Informationssicherheit klar definiert und zugewiesen?

  • Gibt es für alle wichtigen Funktionen der IS -Organisation wirksame Vertretungsregelungen?

Stand: 13. EL Stand 2013