ISMS.1: Sicherheitsmanagement

Transkript

1 i Community Draft ISMS: Sicherheitsmanagement ISMS.1: Sicherheitsmanagement 1 Beschreibung 1.1 Einleitung IT-Grundschutz Mit (Informations-)Sicherheitsmanagement oder auch kurz IS-Management wird die Planungs-, Lenkungs- und Kontrollaufgabe bezeichnet, die erforderlich ist, um einen durchdachten und wirksamen Prozess zur Herstellung von Informationssicherheit aufzubauen und kontinuierlich umzusetzen. Ein funktionierendes Sicherheitsmanagement muss in die eistierenden Managementstrukturen einer jeden Institution eingebettet werden. Daher ist es praktisch nicht möglich, eine für jede Institution unmittelbar anwendbare Organisationsstruktur für das Sicherheitsmanagement anzugeben. Vielmehr werden häufig Anpassungen an spezifische Gegebenheiten erforderlich sein. 1.2 Zielsetzung Ziel dieses Bausteins ist es, aufzeigen, wie ein funktionierendes Informationssicherheitsmanagement eingerichtet und im laufenden Betrieb weiterentwickelt werden kann. Er beschreibt dazu sinnvolle Schritte eines systematischen Sicherheitsprozesses und gibt Anleitungen zur Erstellung eines umfassenden Sicherheitskonzeptes. 1.3 Abgrenzung Der Baustein baut auf dem BSI-Standard Managementsysteme für Informationssicherheit und BSI-Standard Vorgehensweise nach IT-Grundschutz auf und fasst die wichtigsten Aspekte zum Sicherheitsmanagement hieraus zusammen. 2 Gefährdungslage Bedrohungen und Schwachstellen im Umfeld des Sicherheitsmanagements können vielfältiger Natur sein. Häufig sind sie Symptom einer mangelhaften Gesamtorganisation des Sicherheitsprozesses. Stellvertretend für diese Vielzahl der Bedrohungen und Schwachstellen werden in diesem Baustein die folgenden typischen Gefährdungen betrachtet: 2.1 Fehlende persönliche Verantwortung im Sicherheitsprozess Sind in einer Institution die Rollen im Sicherheitsprozess nicht eindeutig festgelegt, so ist es wahrscheinlich, dass viele Mitarbeiter ihre Verantwortung für die Informationssicherheit durch Verweis auf übergeordnete Hierarchie-Ebenen ablehnen. Als Folge werden Sicherheitsmaßnahmen nicht umgesetzt, da diese zunächst fast immer einen Mehraufwand im gewohnten Arbeitsablauf darstellen. Zuletzt aktualisiert: Seite 1 von 10

2 2.2 Mangelnde Unterstützung durch die Leitungsebene Informationssicherheitsbeauftragte entstammen in der Regel nicht der Ebene der Behörden- bzw. Unternehmensleitung. Werden die Sicherheitsverantwortlichen nicht uneingeschränkt durch die Leitungsebene unterstützt, kann es schwierig werden, die notwendigen Maßnahmen auch von Personen, die in der Linienstruktur über ihnen stehen, wirksam einzufordern. In diesem Fall ist der Sicherheitsprozess nicht vollständig durchführbar. 2.3 Unzureichende strategische und konzeptionelle Vorgaben In vielen Institutionen wird zwar ein Sicherheitskonzept erstellt, dessen Inhalt ist dann aber häufig nur wenigen Insidern bekannt. Dies führt dazu, dass die Vorgaben an Stellen, an denen organisatorischer Aufwand zu betreiben wäre, bewusst oder unbewusst nicht eingehalten werden. Sofern das Sicherheitskonzept strategische Zielsetzungen enthält, werden diese vielfach als bloße Sammlung von Absichtserklärungen betrachtet und keine ausreichenden Ressourcen für deren Umsetzung zur Verfügung gestellt. Vielfach wird fälschlicherweise davon ausgegangen, dass in einer automatisierten Umgebung Sicherheit automatisch produziert werde. Schadensfälle in der eigenen oder in ähnlich strukturierten Institutionen sind bisweilen Auslöser für mehr oder minder heftigen Aktionismus, bei dem häufig bestenfalls Teilaspekte verbessert werden. 2.4 Unzureichende oder fehlgeleitete Investitionen Wenn die Leitungsebene einer Institution nicht ausreichend über den Sicherheitszustand der Geschäftsprozesse, IT-Systeme und Anwendungen und über vorhandene Mängel unterrichtet ist, werden nicht genügend Ressourcen für den Sicherheitsprozess bereitgestellt oder diese nicht sachgerecht eingesetzt. In letzterem Fall kann dies dazu führen, dass einem übertrieben hohen Sicherheitsniveau in einem Teilbereich schwerwiegende Mängel in einem anderen gegenüberstehen. Häufig ist auch zu beobachten, dass teure technische Sicherheitslösungen falsch eingesetzt werden und somit unwirksam sind oder sogar selbst zur Gefahrenquelle werden. 2.5 Unzureichende Durchsetzbarkeit von Sicherheitsmaßnahmen Zur Erreichung eines durchgehenden und angemessenen Sicherheitsniveaus ist es erforderlich, dass unterschiedliche Zuständigkeitsbereiche innerhalb einer Institution miteinander kooperieren. Fehlende strategische Leitaussagen und unklare Zielsetzungen führen mitunter zu unterschiedlicher Interpretation der Bedeutung der Informationssicherheit. Dies kann zur Konsequenz haben, dass die notwendige Kooperation wegen vermeintlich fehlender Notwendigkeit oder ungenügender Priorisierung der Aufgabe "Informationssicherheit" letztlich unterbleibt und somit die Durchsetzbarkeit der Sicherheitsmaßnahmen nicht gegeben ist. 2.6 Fehlende Aktualisierung im Sicherheitsprozess Neue Geschäftsprozesse, Anwendungen und IT-Systeme sowie neue Bedrohungen beeinflussen permanent den Status der Informationssicherheit innerhalb einer Institution. Fehlt ein effektives Revisionskonzept, das auch das Bewusstsein für die neuen Bedrohungen stärkt, verringert sich das Sicherheitsniveau und aus der realen Sicherheit wird schleichend eine gefährliche Scheinsicherheit. 2.7 Verstoß gegen gesetzliche Regelungen und vertragliche Vereinbarungen Wenn Informationen, Geschäftsprozesse und IT-Systeme einer Institution unzureichend abgesichert sind (beispielsweise durch ein unzureichendes Sicherheitsmanagement), kann dies zu Verstößen gegen Rechtsvorschriften mit Bezug zur Informationsverarbeitung oder gegen bestehende Verträge mit Geschäftspartnern führen. Welche Gesetze jeweils zu beachten sind, hängt von der Art der Institution beziehungsweise ihrer Geschäftsprozesse und Dienstleistungen ab. Je nachdem, wo sich die Standorte einer Institution befinden, können auch verschiedene nationale und internationale Vorschriften zu beachten sein. Verfügt eine Institution über unzureichende Kenntnisse hinsichtlich internationaler Gesetzesvorgaben (zum Beispiel Datenschutz, Informationspflicht, Insolvenzrecht, Haftung oder Zuletzt aktualisiert: Seite 2 von 10

3 Informationszugriff für Dritte), erhöht dies das Risiko entsprechender Verstöße. Es drohen rechtliche Konsequenzen. In vielen Branchen ist es üblich, dass Anwender ihre Zulieferer und Dienstleister zur Einhaltung bestimmter Qualitäts- und Sicherheitsstandards verpflichten. In diesem Zusammenhang werden zunehmend auch Anforderungen an die Informationssicherheit gestellt. Verstößt ein Vertragspartner gegen vertraglich geregelte Sicherheitsanforderungen, kann dies Vertragsstrafen, aber auch Vertragsauflösungen bis hin zum Verlust von Geschäftsbeziehungen nach sich ziehen. 2.8 Störung der Geschäftsabläufe aufgrund von Sicherheitsvorfällen Sicherheitsvorfälle können durch ein singuläres Ereignis oder eine Verkettung unglücklicher Umstände ausgelöst werden und dazu führen, dass Vertraulichkeit, Integrität oder Verfügbarkeit von Informationen und IT-Systemen beeinträchtigt werden. Dies wirkt sich dann schnell negativ auf wesentliche Fachaufgaben und Geschäftsprozesse der betroffenen Institution aus. Auch wenn nicht alle Sicherheitsvorfälle in der Öffentlichkeit bekannt werden, können sie trotzdem zu negativen Auswirkungen in den Beziehungen zu Geschäftspartnern und Kunden führen. Dabei ist es nicht einmal so, dass die beträchtlichsten und weitreichendsten Sicherheitsvorfälle durch die größten Sicherheitsschwachstellen ausgelöst wurden. In vielen Fällen hat die Verkettung kleiner Ursachen zu riesigen Schäden geführt. 2.9 Unwirtschaftlicher Umgang mit Ressourcen durch unzureichendes Sicherheitsmanagement Ein unzureichendes Sicherheitsmanagement kann dazu führen, dass falsche Prioritäten gesetzt werden und nicht an denjenigen Stellen investiert wird, die den größten Mehrwert für die Institution bringen. Dies kann zu folgenden Fehlern führen: Es wird in teure Sicherheitslösungen investiert, ohne dass eine Basis an notwendigen organisatorischen Regelungen vorhanden ist. Nicht geklärte Zuständigkeiten und Verantwortlichkeiten können trotz teurer Investitionen zu schweren Sicherheitsvorfällen führen. Es wird in den Bereichen einer Institution in Informationssicherheit investiert, die für Informationssicherheit besonders sensibilisiert sind. Andere Bereiche, die vielleicht für die Erfüllung der Fachaufgaben und der Erreichung der Geschäftsziele wichtiger sind, werden aufgrund von knappen Mitteln oder Desinteresse der Verantwortlichen vernachlässigt. Es wird nur in einzelne Teilbereiche investiert. Im Gesamtsystem verbleiben jedoch erhebliche Sicherheitslücken. Durch die einseitige Erhöhung des Schutzes einzelner Grundwerte kann sich der Gesamtschutz verringern. Ein inhomogener und unkoordinierter Einsatz von Sicherheitsprodukten kann zu hohem finanziellen und personellen Ressourceneinsatz führen. 3 Anforderungen Im Folgenden sind die spezifischen Anforderungen für den Bereich Sicherheitsmanagement aufgeführt. Grundsätzlich ist der Informationssicherheitsbeauftragte (ISB) für die Erfüllung der Anforderungen zuständig. Abweichungen hiervon werden in den entsprechenden Anforderungen gesondert erwähnt. Der ISB ist bei strategischen Entscheidungen stets einzubeziehen. Außerdem ist der ISB dafür verantwortlich, dass alle Anforderungen gemäß dem festlegten Sicherheitskonzept erfüllt und überprüft werden. Zusätzlich kann es noch andere Rollen geben, die weitere Verantwortlichkeiten bei der Umsetzung von Anforderungen haben. Diese sind dann jeweils eplizit in eckigen Klammern in der Überschrift der jeweiligen Anforderungen aufgeführt. Zuletzt aktualisiert: Seite 3 von 10

4 Bausteinverantwortlicher weitere Verantwortlichkeiten Informationssicherheitsbeauftragter Behörden-/Unternehmensleitung, Vorgesetzte 3.1 Basis-Anforderungen Die folgenden Anforderungen MÜSSEN umgesetzt werden: ISMS.1.A1 Übernahme der Gesamtverantwortung für Informationssicherheit durch die Leitungsebene [Behörden-/Unternehmensleitung] Die Leitungsebene MUSS die Gesamtverantwortung für Informationssicherheit in der Institution übernehmen, so dass dies für alle Beteiligten deutlich erkennbar ist. Die Leitungsebene der Institution MUSS den Sicherheitsprozess initiieren, steuern und kontrollieren. Die Leitungsebene MUSS Informationssicherheit vorleben. Die Behörden- bzw. Unternehmensleitung MUSS die Zuständigkeiten für Informationssicherheit festlegen und die zuständigen Mitarbeiter mit den erforderlichen Kompetenzen und Ressourcen ausstatten. Die Leitungsebene MUSS sich regelmäßig über den Status der Informationssicherheit informieren lassen, insbesondere MUSS sie sich über mögliche Risiken und Konsequenzen aufgrund fehlender Sicherheitsmaßnahmen informieren lassen. ISMS.1.A2 Festlegung der Sicherheitsziele und -strategie [Behörden-/Unternehmensleitung] Der Sicherheitsprozess MUSS durch die Leitungsebene initiiert und etabliert werden. Dafür MÜSSEN angemessene Sicherheitsziele sowie eine Strategie für Informationssicherheit festgelegt und dokumentiert werden. Es MÜSSEN konzeptionelle Vorgaben erarbeitet und organisatorische Rahmenbedingungen geschaffen werden, um den ordnungsgemäßen und sicheren Umgang mit Informationen innerhalb aller Geschäftsprozesse des Unternehmens oder der Behörde zu ermöglichen. Die Sicherheitsstrategie und -ziele MÜSSEN von der Behörden- bzw. Unternehmensleitung getragen und verantwortet werden. Sicherheitsziele und -strategie MÜSSEN regelmäßig daraufhin überprüft werden, ob sie noch aktuell und angemessen sind sowie wirksam umgesetzt werden können. ISMS.1.A3 Erstellung einer Leitlinie zur Informationssicherheit [Behörden-/Unternehmensleitung] Die Leitungsebene MUSS eine übergeordnete Leitlinie zur Informationssicherheit verabschieden, die den Stellenwert der Informationssicherheit, die Sicherheitsziele, die wichtigsten Aspekte der Sicherheitsstrategie sowie die Organisationsstruktur für Informationssicherheit beschreibt. Für die Sicherheitsleitlinie MUSS ein klarer Geltungsbereich festgelegt sein. In der Leitlinie zur Informationssicherheit MÜSSEN die Sicherheitsziele und der Bezug der Sicherheitsziele zu den Geschäftszielen und Aufgaben der Institution erläutert werden. Die Leitlinie zur Informationssicherheit MUSS allen Mitarbeitern und sonstigen Mitgliedern der Institution bekannt gegeben werden. Sie SOLLTE regelmäßig aktualisiert werden. ISMS.1.A4 Benennung eines Informationssicherheitsbeauftragten [Behörden-/Unternehmensleitung] Die Leitungsebene MUSS einen Informationssicherheitsbeauftragten benennen, der die Informationssicherheit in der Institution fördert und den Sicherheitsprozess steuert und koordiniert. Der Informationssicherheitsbeauftragte MUSS mit angemessenen Ressourcen ausgestattet werden. Er MUSS die Möglichkeit haben, bei Bedarf direkt an die Leitungsebene zu berichten. Der Informationssicherheitsbeauftragte MUSS ausreichend qualifiziert sein und ausreichend Gelegenheit haben, sich fortzubilden. Der Informationssicherheitsbeauftragte MUSS bei allen größeren Projekten sowie bei der Einführung Zuletzt aktualisiert: Seite 4 von 10

5 neuer Anwendungen und IT-Systeme beteiligt werden ISMS.1.A5 Vertragsgestaltung bei Bestellung eines eternen Informationssicherheitsbeauftragten [Behörden-/Unternehmensleitung] Wenn die Rolle des Informationssicherheitsbeauftragten nicht durch einen internen Mitarbeiter besetzt werden kann, MUSS ein eterner Informationssicherheitsbeauftragten bestellt werden. Der hierzu geschlossene Dienstleistungsvertrag MUSS alle Aufgaben des Informationssicherheitsbeauftragten sowie die damit verbundenen Rechte und Pflichten umfassen. Der Vertrag MUSS eine geeignete Vertraulichkeitsvereinbarung umfassen. Der eterne Informationssicherheitsbeauftragte MUSS über die notwendigen Qualifikationen verfügen. Der Vertrag MUSS eine kontrollierte Beendigung des Vertragsverhältnisses einschließlich Übergabe der Aufgaben an den Auftraggeber ermöglichen. ISMS.1.A6 Aufbau einer geeigneten Organisationsstruktur für Informationssicherheit [Behörden-/Unternehmensleitung] Es MUSS eine geeignete, übergreifende Organisationsstruktur für Informationssicherheit vorhanden sein. Dafür MÜSSEN Rollen definiert sein, die die verschiedenen Aufgaben für die Erreichung der Sicherheitsziele wahrnehmen. Außerdem MÜSSEN Personen benannt sein, die qualifiziert sind und denen ausreichend Ressourcen zur Verfügung stehen, um diese Rollen auszufüllen. Die Aufgaben, Verantwortungen und Kompetenzen im Sicherheitsmanagement MÜSSEN nachvollziehbar definiert und zugewiesen sein. Für alle wichtigen Funktionen der IS-Organisation MUSS es wirksame Vertretungsregelungen geben. Kommunikationswege MÜSSEN geplant, beschrieben, eingerichtet und bekannt gemacht werden. Es MUSS für alle Aufgaben und Rollen festgelegt sein, wer wen informiert und wer bei welchen Aktionen in welchen Umfang informiert werden muss. Es MUSS regelmäßig geprüft werden, ob die Organisationsstruktur für Informationssicherheit noch angemessen ist oder an neue Rahmenbedingungen angepasst werden muss. ISMS.1.A7 Festlegung von Sicherheitsmaßnahmen Im Rahmen des Sicherheitsprozesses MÜSSEN für die gesamte Informationsverarbeitung ausführliche und angemessene Sicherheitsmaßnahmen festgelegt werden. Alle Sicherheitsmaßnahmen SOLLTEN systematisch in Sicherheitskonzepten dokumentiert und regelmäßig aktualisiert werden. ISMS.1.A8 Integration der Mitarbeiter in den Sicherheitsprozess [Vorgesetzte] Alle Mitarbeiter MÜSSEN in den Sicherheitsprozess integriert sein, dass heißt, sie müssen über Hintergründe und Gefährdungen informiert sein und Sicherheitsmaßnahmen kennen und umsetzen, die ihren Arbeitsplatz betreffen, und sie MÜSSEN Sicherheit aktiv mitgestalten, also in ihre Geschäftsprozesse mit einbringen. Daher SOLLTEN die Mitarbeiter frühzeitig bei der Planung von Sicherheitsmaßnahmen oder der Gestaltung organisatorischer Regelungen beteiligt werden. Bei der Einführung von Sicherheitsrichtlinien und Sicherheitswerkzeugen MÜSSEN die Mitarbeiter ausreichend informiert sein, wie diese anzuwenden sind. ISMS.1.A9 Integration der Informationssicherheit in organisationsweite Abläufe und Prozesse [Behörden-/Unternehmensleitung] Informationssicherheit MUSS in alle Geschäftsprozesse integriert werden. Es MUSS dabei gewährleistet sein, dass nicht nur bei neuen Prozessen und Projekten, sondern auch bei laufenden Aktivitäten alle erforderlichen Sicherheitsaspekte berücksichtigt werden. Informationssicherheit SOLLTE außerdem mit anderen Bereichen in der Institution, die sich mit Sicherheit und Risikomanagement beschäftigen, abgestimmt werden. Der Informationssicherheitsbeauftragte MUSS an sicherheitsrelevanten Entscheidungen ausreichend beteiligt werden. Zuletzt aktualisiert: Seite 5 von 10

6 3.2 Standard-Anforderungen Gemeinsam mit den Basisanforderungen entsprechen die folgenden Anforderungen dem Stand der Technik im Bereich Informationssicherheitsmanagement. Sie SOLLTEN grundsätzlich umgesetzt werden. ISMS.1.A10 Erstellung eines Sicherheitskonzepts Für den festgelegten Geltungsbereich (Informationsverbund) SOLLTE ein angemessenes Sicherheitskonzept als das zentrale Dokument im Sicherheitsprozess erstellt werden. Das Sicherheitskonzept kann auch aus mehreren Teilkonzepten bestehen, die sukzessive erstellt werden, um zunächst in ausgewählten Bereichen das erforderliche Sicherheitsniveau herzustellen. Im Sicherheitskonzept MÜSSEN aus den Sicherheitszielen der Institution, dem identifizierten Schutzbedarf und der Risikobewertung konkrete Sicherheitsmaßnahmen passend zum betrachteten Informationsverbund abgeleitet werden. Sicherheitsprozess und Sicherheitskonzept MÜSSEN die individuell geltenden Vorschriften und Regelungen berücksichtigen. Die im Sicherheitskonzept vorgesehenen Maßnahmen MÜSSEN zeitnah in die Prais umgesetzt werden. Dies MUSS geplant und die Umsetzung kontrolliert werden. Es SOLLTE regelmäßig überprüft werden, ob die ausgewählten Maßnahmen geeignet, angemessen, umsetzbar und effizient sind, um die Sicherheitsziele und -anforderungen zu erreichen. Jeder Mitarbeiter SOLLTE zumindest über die ihn unmittelbar betreffenden Teile des Sicherheitskonzeptes informiert sein. ISMS.1.A11 Aufrechterhaltung der Informationssicherheit Der Sicherheitsprozess, die Sicherheitskonzepte, die Leitlinie zur Informationssicherheit und die Organisationsstruktur für Informationssicherheit SOLLTEN regelmäßig auf Wirksamkeit und Angemessenheit überprüft und aktualisiert werden. Hierzu SOLLTEN regelmäßig Vollständigkeits- bzw. Aktualisierungsprüfungen des Sicherheitskonzeptes durchgeführt werden. Ebenso SOLLTEN regelmäßig Sicherheitsrevisionen durchgeführt werden. Dazu SOLLTE geregelt sein, welche Bereiche und Sicherheitsmaßnahmen wann und von wem zu überprüfen sind. Überprüfungen des Sicherheitsniveaus SOLLTEN regelmäßig (mindestens jährlich) sowie anlassbezogen durchgeführt werden. Die Prüfungen SOLLTEN von qualifizierten und unabhängigen Personen durchgeführt werden. Die ermittelten Ergebnisse der Überprüfungen SOLLTEN nachvollziehbar dokumentiert sein. Darauf aufbauend SOLLTEN Mängel abgestellt und Korrekturmaßnahmen ergriffen werden. ISMS.1.A12 Management-Berichte zur Informationssicherheit [Behörden-/Unternehmensleitung] Die Leitungsebene SOLLTE regelmäßig über den Stand der Informationssicherheit informiert werden, vor allem über die aktuelle Gefährdungslage und Wirksamkeit und Effizienz des Sicherheitsprozesses, um das weitere Vorgehen im Sicherheitsprozess steuern zu können. Die Management-Berichte SOLLTEN die wesentlichen relevanten Informationen über den Sicherheitsprozess enthalten, insbesondere über Probleme, Erfolge und Verbesserungsmöglichkeiten. Sie SOLLTEN klar priorisierte und mit realistischen Abschätzungen des zu erwartenden Umsetzungsaufwands versehene Maßnahmenvorschläge enthalten. Die Management-Entscheidungen über erforderliche Aktionen, Umgang mit Restrisiken und mit Veränderungen von sicherheitsrelevanten Prozessen SOLLTEN dokumentiert sein. Die Management-Berichte und Management-Entscheidungen SOLLTEN revisionssicher archiviert werden. ISMS.1.A13 Dokumentation des Sicherheitsprozesses Der Ablauf des Sicherheitsprozesses, wichtige Entscheidungen und die Arbeitsergebnisse der einzelnen Phasen wie Sicherheitskonzept, Richtlinien oder Untersuchungsergebnisse von Sicherheitsvorfällen SOLLTEN ausreichend dokumentiert werden. Zuletzt aktualisiert: Seite 6 von 10

7 Es SOLLTE eine geregelte Vorgehensweise für die Erstellung und Archivierung von Dokumentationen im Rahmen des Sicherheitsprozesses geben. Es SOLLTEN Regelungen eistieren, um die Aktualität und Vertraulichkeit der Dokumentationen zu wahren. Von den vorhandenen Dokumenten SOLLTE die jeweils aktuelle Version kurzfristig zugänglich sein. Außerdem SOLLTEN alle Vorgängerversionen zentral archiviert werden. ISMS.1.A14 Sensibilisierung zur Informationssicherheit Alle Mitarbeiter der Institution und sonstige relevante Personen (wie etern Beschäftigte oder Projektmitarbeiter) SOLLTEN systematisch und zielgruppengerecht zu Sicherheitsrisiken sensibilisiert und zu Fragen der Informationssicherheit geschult werden (siehe ORP.3 Sensibilisierung und Schulung zur Informationssicherheit). 3.3 Anforderungen bei erhöhtem Schutzbedarf Im Folgenden sind eemplarische Vorschläge für Anforderungen aufgeführt, die über das dem Stand der Technik entsprechende Schutzniveau hinausgehen und BEI ERHÖHTEM SCHUTZBEDARF in Betracht gezogen werden SOLLTEN. Die konkrete Festlegung erfolgt im Rahmen einer Risikoanalyse. Die jeweils in Klammern angegebenen Buchstaben zeigen an, welche Grundwerte durch die Anforderung vorrangig geschützt werden (C = Vertraulichkeit, I = Integrität, A = Verfügbarkeit). ISMS.1.A15 Erstellung von zielgruppengerechten Sicherheitsrichtlinien (CIA) Sicherheitsthemen SOLLTEN zielgruppengerecht vermittelt werden. Alle Mitarbeiter SOLLTEN diese und ihren Arbeitsbereich betreffenden Sicherheitsaspekte kennen und beachten. Daher SOLLTE es zielgruppenorientierte Sicherheitsrichtlinien geben, die bedarfsgerecht die relevanten Sicherheitsthemen abbilden. ISMS.1.A16 Wirtschaftlicher Einsatz von Ressourcen für Informationssicherheit [Behörden-/Unternehmensleitung] (CIA) Informationssicherheit erfordert ausreichende finanzielle und personelle Ressourcen sowie eine geeignete Ausstattung. Der Bedarf SOLLTE vom ISB der Leitungsebene kommuniziert werden, diese SOLLTE die erforderlichen Ressourcen bereitstellen. Die Sicherheitsstrategie SOLLTE wirtschaftliche Aspekte berücksichtigen. Bei der Festlegung von Sicherheitsmaßnahmen SOLLTEN die für die Umsetzung erforderlichen Ressourcen beziffert werden. Die für Informationssicherheit eingeplanten Ressourcen SOLLTEN termingerecht bereitgestellt werden. Der Informationssicherheitsbeauftragte bzw. das Informationssicherheitsmanagement-Team MÜSSEN genügend Zeit für ihre Sicherheitsaufgaben haben. Bei Arbeitsspitzen oder besonderen Aufgaben SOLLTEN zusätzliche interne Mitarbeiter eingesetzt oder auf eterne Eperten zurückgegriffen werden. ISMS.1.A17 Abschließen von Versicherungen [Behörden-/Unternehmensleitung] (A) Es SOLLTE geprüft werden, ob für Restrisiken Versicherungen abgeschlossen werden sollen, um eventuelle Schäden abzudecken. Es SOLLTE regelmäßig überprüft werden, ob die bestehenden Versicherungen der aktuellen Lage entsprechen. 4 Weiterführende Informationen Weiterführende Informationen zu Gefährdung und Schutz von ISMS finden sich unter anderem in folgenden Veröffentlichungen: [[ISO/IEC 27000] Information technology Security techniques Information security management systems Overview and vocabulary. (bzw. auf Englisch als kostenloser Download von [ISO/IEC 27001] Information technology Security techniques Information security management systems Requirements [BSI200-1] BSI-Standard Managementsysteme für Informationssicherheit Zuletzt aktualisiert: Seite 7 von 10

8 [BSI200-2] BSI-Standard 200-2: Vorgehensweise nach IT-Grundschutz Mit dem IT-Grundschutz publiziert das Bundesamt für Sicherheit in der Informationstechnik (BSI) Empfehlungen zur Informationssicherheit. Kommentare und Hinweise können von Lesern an gesendet werden. Zuletzt aktualisiert: Seite 8 von 10

9 5 Anlage: Kreuzreferenztabelle zu elementaren Gefährdungen Die folgenden elementaren Gefährdungen sind für ein ISMS von Bedeutung: G 0.18 Fehlplanung oder fehlende Anpassung G 0.27 G 0.29 Ressourcenmangel Verstoß gegen Gesetze oder Regelungen Zuletzt aktualisiert: Seite 9 von 10

10 Bedrohungen/Schwachstellen Maßnahmen G 0.18 G 0.27 G 0.29 A1 A2 A3 A4 A5 A6 A7 A8 A9 A10 A11 A12 A13 A14 A15 A16 A17 Zuletzt aktualisiert: Seite 10 von 10