Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 2.337 Integration der IT-Sicherheit in organisationsweite Abläufe und Prozesse - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 2.337 Integration der IT-Sicherheit in organisationsweite Abläufe und Prozesse

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung

Verantwortlich für Umsetzung: Behörden-/Unternehmensleitung, IT-Sicherheitsmanagement-Team

IT-Sicherheit muss in alle Geschäftsprozesse integriert werden. Es muss dabei gewährleistet sein, dass nicht nur bei neuen Projekten, sondern auch bei laufenden Anwendungen alle erforderlichen IT-Sicherheitsaspekte berücksichtigt werden.

Vor allem in größeren Institutionen existiert bereits häufig ein übergreifendes Risikomanagementsystem. Da IT-Risiken zu den wichtigsten operationellen Risiken gehören, sollten die Methoden zum Management von IT-Risiken mit den bereits etablierten Methoden abgestimmt werden. Wichtig ist, dass Arbeitsanweisungen oder Dienstvereinbarungen aus unterschiedlichen Bereichen einer Organisation sich nicht widersprechen dürfen.

Die Bausteine der IT-Grundschutz-Kataloge enthalten ausführliche und konkrete Maßnahmenempfehlungen zur IT-Sicherheitsorganisation. Im Folgenden werden daher nur beispielhaft wichtige übergreifende IT-Sicherheitsmaßnahmen kurz genannt:

Definition von Zuständigkeiten (Funktionstrennung)

Zuständigkeiten und Kompetenzen innerhalb der IT-Sicherheitsorganisation müssen klar definiert und zugewiesen werden. Für alle wichtigen Funktionen sind zudem Vertretungsregelungen sicherzustellen.

Festlegung von Kommunikationswegen

Kommunikationswege müssen geplant, beschrieben, bekannt gemacht und eingerichtet werden. Es muss also für alle Aufgaben und Rollen festgelegt sein, wer wen informiert, bei welchen Aktionen wer informiert werden muss und welchen Umfang dies haben muss.

Zuweisung der Verantwortung für Geschäftsprozesse, Informationen, IT-Anwendungen und IT-Systeme

Für alle wesentlichen Geschäftsprozesse, Informationen, IT-Systeme und IT-Anwendungen, aber auch für Gebäude und IT-Räume müssen verantwortliche Personen benannt werden. Je nach Bereich und Sprachgebrauch werden diese verantwortlichen Personen z. B. als Informationseigentümer, Geschäftsprozessverantwortliche oder Fachverantwortliche bezeichnet. Die Fachverantwortlichen müssen die Erarbeitung und Umsetzung der IT-Sicherheitsstrategie unterstützen. Die Maßnahme M 2.225 Zuweisung der Verantwortung für Informationen, Anwendungen und IT-Komponenten gibt weitere Hinweise.

Integration der Mitarbeiter in den Sicherheitsprozess

IT-Sicherheit betrifft ohne Ausnahme alle Mitarbeiter. Jeder Einzelne muss durch verantwortungs- und qualitätsbewusstes Handeln mithelfen, Schäden zu vermeiden und zum Erfolg beitragen. Dies betrifft nicht nur die festangestellten Mitarbeiter, sondern alle, die innerhalb der Institution beschäftigt sind, also beispielsweise auch Pförtner und Praktikanten. Ebenso sollten auch Personen einbezogen werden, die von außerhalb auf Geschäftsprozesse, Anwendungen oder IT-Systeme zugreifen, also z. B. Mitarbeiter von Outsourcing-Dienstleistern. Wichtige Sicherheitsmaßnahmen, die beim Personalmanagement zu beachten sind, also beginnend von der Personalauswahl und Einstellung bis hin zum Wechsel in andere Bereiche oder dem Weggang aus der Institution, sind im Baustein B 3.2 Personal beschrieben.

Darüber hinaus müssen alle Mitarbeiter innerhalb ihres Aufgabenbereiches in die erforderlichen Sicherheitsmaßnahmen eingewiesen werden. Sie sollten regelmäßig für IT-Sicherheitsaspekte sensibilisiert werden, um das Bewusstsein für Risiken und Schutzvorkehrungen im alltäglichen Umgang mit Informationen zu schärfen. Auch das Management muss in das Sensibilisierungskonzept einbezogen werden. Vertiefende Ausführungen hierzu finden sich im Baustein B 1.13 IT-Sicherheitssensibilisierung und -schulung.

Einbeziehung von IT-Sicherheitsaspekten in alle Geschäftsprozesse

Das Management muss einen Überblick über die geschäftskritischen Informationen, Fachaufgaben und Geschäftsprozesse haben. Die zuständigen Fachverantwortlichen und das IT-Sicherheitsmanagement müssen konkrete Regeln zum Umgang mit den relevanten IT-Sicherheitsaspekten aufstellen (z. B. Schutzmaßnahmen, Klassifizierung und Kennzeichnung von Informationen).

Rechte und Berechtigungen

Zum Schutz der Werte müssen der Zutritt zu Räumen, der Zugang zu IT-Systemen und Anwendungen sowie der Zugriff auf Informationen geregelt werden. Nähere Informationen finden sich z. B. in den Maßnahmen M 2.6 Vergabe von Zutrittsberechtigungen, M 2.7 Vergabe von Zugangsberechtigungen, M 2.8 Vergabe von Zugriffsrechten und M 2.220 Richtlinien für die Zugriffs- bzw. Zugangskontrolle.

Änderungsmanagement

Änderungsmanagement beschäftigt sich mit der Planung von Änderungen an Hard- und Software sowie Prozessen. Es muss durch organisatorische Vorgaben sichergestellt werden, dass dabei Sicherheitsgesichtspunkte berücksichtigt werden. Näheres findet sich z. B. in der Maßnahme M 2.221 Änderungsmanagement.

Konfigurationsmanagement

Konfigurationsmanagement umfasst alle Maßnahmen und Strukturen, die erforderlich sind, um den Zustand der betrachteten Objekte zu überwachen, beginnend von der Identifikation, über die Bestandsführung und Aktualisierung bis hin zur Außerbetriebnahme. Betrachtete Objekte (Konfigurationselemente) können dabei ganze Infrastrukturbereiche, konkrete IT-Anwendungen und IT-Systeme, aber auch einzelne Komponenten davon (beispielsweise Dokumentationen) sein.

Im Rahmen des Konfigurationsmanagements müssen Prozesse und Regelungen eingeführt werden, die beschreiben, wie Informationen über die Eigenschaften der eingesetzten Konfigurationselemente sowie Informationen über sicherheitsrelevante Störungen, Probleme und Änderungen im Zusammenhang mit Konfigurationselementen verwaltet werden. Typische Tätigkeiten sind beispielsweise die Aktualisierung der Liste der IT-Systeme oder die Anpassung von sicherheitsrelevanten Dokumentationen nach Änderungen von IT-Anwendungen. Empfehlungen zum Konfigurationsmanagement finden sich in Baustein B 1.9 Hard- und Software-Management.

Ergänzende Kontrollfragen: