Unternehmen verarbeiten Informationen. Das bringt auch einige Risiken mit sich. Die Informationen könnten von Unbefugten eingesehen, manipuliert oder gelöscht werden. Auch ein befugter Anwender könnte die Daten aus Versehen löschen.
Wer sich nicht um diese Risiken kümmert, handelt fahrlässig und kann rechtlich belangt werden.
Ein IT-Sicherheitskonzept beschäftigt sich mit solchen Risiken in der Informationssicherheit und gibt einen Leitfaden, wie man mit ihnen umgehen soll.
Es sagt z.B. aus, wie man die Gefahr des Risiko-Eintritts verringert bzw. wie man ihre Auswirkungen verringert, sollten die Risiken doch einmal eingetreten sein.
Das IT-Sicherheitskonzept ist Teil des ISMS, des Information Security Management Systems. Das ISMS ist ein größeres Rahmenwerk und definiert die allgemeine Sicherheits-Strategie des Unternehmens. Das IT-Sicherheitskonzept beschreibt die taktische Umsetzung dieses Rahmenwerks im täglichen operativen Geschäft.
Zur Erstellung eines IT-Sicherheitskonzeptes kann man sich an an der ISO27001 und dem IT-Grundschutz Katalog des Bundesamt für Sicherheit in der Informationstechnik und den 3 BSI Standards orientieren.
Für die ISO-Norm können Sie sogar Personenzertifizierungen erwerben.
BSI-Grundschutz Anleitung – Schritt für Schritt
Das sind die Schritte zur Erstellung eines IT-Sicherheitskonzeptes
1. Strukturanalyse
Bei der Strukturanalyse werden alle Bestandteile des Informationsverarbeitungsprozesses erfasst.
Zum Beispiel: Geräte, Zugriffskarten, Dokumente und Daten aber auch Mitarbeiter und Serverräume.
Man macht sozusagen eine Inventur der Informationsverarbeitung.
2. Schutzbedarfsfeststellung
Im nächsten Schritt wird der Schutzbedarf für die eben ermittelten Objekte festgelegt .
Verwendet werden dabei 3 Schutzbedarfskategorien: normaler, hoher und sehr hoher Schutzbedarf.
Jedes Objekt benötigt zudem einen Besitzer, der für die Einhaltung der Sicherheitsziele zusätndig ist. Bei einem Gerät wäre das zum Beispiel dessen Benutzer, bei einem Mitarbeiter ist es dessen Vorgesetzter – er kann ihn zum Beispiel zu einer Sicherheitsschulung schicken.
3. Modellierung
In diesem dritten Schritt werden die zwei vorangegangenen Schritte grafisch dargestellt.
Geräte und Netzwerkschnittstellen werden mit einander in Verbindung dargestellt. Teilweise wird auch dargestellt, welche Anwendungen auf den Systemen laufen, sowie beteiligte Mitarbeiter und Dokumente.
4. IT-Grundschutz-Check
Nun werden bislang bereits umgesetzte Sicherheitsmaßnahmen ermittelt und mit dem BSI IT-Grundschutz-Katalog verglichen.
Passen die aktuellen Sicherheitsmaßnahmen zum in Schritt 2 ermittelten Schutzbedarf? Gegebenenfalls nehmen Sie hier Anpassungen vor.
5. Risikoanalyse
Gelegentlich ist eine weitere Risikoanalyse erforderlich, zum Beispiel wenn Sie Objekte mit hohem oder sehr hohem Schutzbedarf haben oder keinen passenden Baustein im IT-Grundschutz-Katalog finden.
Auf der BSI-Webseite finden Sie dazu nähere Infos im Rahmen des BSI-Standard 200-3.
Quellen:
Kompletter IT-Grundschutz-Kurs
Die BSI-Grundschutz-Standards
Die Schritte als Grafik