M 2.201 Dokumentation des IT-Sicherheitsprozesses
Verantwortlich für Initiierung: IT-Sicherheitsmanagement-Team
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement-Team
Ein angemessenes Sicherheitsniveau lässt sich nur dann erreichen, wenn eine verständliche, angemessene, aktuelle und konsistente Dokumentation des IT-Sicherheitsprozesses vorhanden ist und eine geordnete Dokumentenverwaltung besteht.
Der Ablauf des IT-Sicherheitsprozesses sowie wichtige Entscheidungen und die Arbeitsergebnisse in den einzelnen Phasen sollten dokumentiert werden. Eine solche Dokumentation ist eine wesentliche Grundlage für die Aufrechterhaltung der IT-Sicherheit und damit entscheidende Voraussetzung für die effiziente Weiterentwicklung des Prozesses. Sie hilft dabei, die Ursachen von Störungen und fehlgeleiteten Abläufen zu finden und zu beseitigen. Wichtig ist dabei, dass nicht nur die jeweils aktuelle Version der betreffenden Unterlagen griffbereit gehalten wird, sondern auch eine zentrale Archivierung der Vorgängerversionen vorgenommen wird. Erst hierdurch ist eine kontinuierliche Rückverfolgung der Entwicklung im Bereich IT-Sicherheit, bei der die getroffenen Entscheidungen nachvollziehbar werden, gewährleistet.
Neben Dokumenten zum IT-Sicherheitsmanagement und dem IT-Sicherheitsprozess gibt es weitere für das IT-Sicherheitsmanagement relevante Dokumente. Abhängig vom Gegenstand und vom Verwendungszweck sind folgende Arten von Dokumentationen zu betrachten:
Berichte an die Leitungsebene
Damit die oberste Leitungsebene einer Behörde oder eines Unternehmens die richtigen Entscheidungen treffen kann, um IT-Sicherheit auf einem angemessenen Niveau zu gewährleisten, benötigt sie die dafür notwendigen Informationen. Hierfür sollte der IT-Sicherheitsbeauftragte bzw. das IT-Sicherheitsmanagement-Team regelmäßig sowie anlassbezogen Management-Reporte zum Status der IT-Sicherheit (siehe auch M 2.200 Managementreporte und -bewertungen der IT-Sicherheit) erstellen.
Dokumente zum IT-Sicherheitsprozess
Folgende Arten von Dokumentationen zum IT-Sicherheitsprozess sollten erstellt werden:
- Die oberste Leitungsebene muss die IT-Sicherheitsleitlinie der Behörde bzw. des Unternehmens festlegen und veröffentlichen. Diese enthält unter anderem die IT-Sicherheitsziele und die IT-Sicherheitsstrategie.
- Im IT-Sicherheitskonzept werden die erforderlichen IT-Sicherheitsmaßnahmen beschrieben und deren Umsetzung festgelegt.
- Auf der Sicherheitsleitlinie aufbauend gibt es bereichs- und systemspezifische Sicherheitsrichtlinien und Regelungen für den ordnungsgemäßen und sicheren IT-Einsatz.
- Die wesentlichen Arbeiten des IT-Sicherheitsmanagement-Teams sollten ebenfalls dokumentiert sein, dazu gehören z. B. Sitzungsprotokolle und Beschlüsse.
- Ergebnisse von Audits und Überprüfungen (z. B. Prüflisten und Befragungsprotokolle).
Dokumentation von Arbeitsabläufen
Arbeitsabläufe, organisatorische Vorgaben und technische IT-Sicherheitsmaßnahmen müssen so dokumentiert werden, dass IT-Sicherheitsvorfälle durch Unkenntnis oder Fehlhandlungen vermieden werden.
Es muss bei Störungen oder IT-Sicherheitsvorfällen möglich sein, den gewünschten Soll-Zustand der IT wiederherzustellen. Technische Einzelheiten und Arbeitsabläufe sind daher so zu dokumentieren, dass dies in angemessener Zeit möglich ist.
Dokumentation von Sicherheitsvorfällen
Sicherheitsrelevante Vorfälle müssen so aufbereitet werden, dass alle damit verbundenen Vorgänge und Entscheidungen nachvollziehbar sind. Ebenso soll es die Dokumentation ermöglichen, Verbesserungen an den Notfallstrategien vorzunehmen und bekannte Fehler zu vermeiden. Zur Bearbeitung von Sicherheitsvorfällen sind außerdem technische Unterlagen, wie Protokolle oder für den Vorfall besonders relevante System-Meldungen, zu speichern und zu archivieren. Die Regelungen des Datenschutzes müssen eingehalten werden.
Technische Dokumentation
Zu dieser Art von sicherheitsrelevanten Dokumentationen gehören:
- Installations- und Konfigurationsanleitungen,
- Anleitungen für den Wiederanlauf nach einem Sicherheitsvorfall,
- Dokumentation von Test- und Freigabeverfahren und
- Anweisungen für das Verhalten bei Störungen und IT-Sicherheitsvorfällen.
Anleitungen für IT-Benutzer
IT-Sicherheitsmaßnahmen müssen für die IT-Benutzer verständlich dokumentiert werden. Den Benutzern müssen also
- die geltenden Sicherheitsrichtlinien,
- übersichtliches Merkblätter für die sichere Nutzung von IT-Systemen und Anwendungen sowie zum Verhalten bei Sicherheitsvorfällen,
- Handbücher und Anleitungen für die eingesetzten IT-Systeme und Anwendungen
zur Verfügung stehen.
Es kann in seltenen Fällen vorkommen, dass ein Verstoß gegen eine Sicherheitsrichtlinie sinnvoll und notwendig ist. Ein solcher Verstoß muss aber auf jeden Fall durch eine autorisierte Stelle genehmigt werden. Ausnahmegenehmigungen dürfen nur nach gründlicher Prüfung und in den seltensten Fällen erteilt werden. Anschließend muss eine schriftliche Begründung verfasst werden, die vom Verantwortlichen zu unterzeichnen ist.
Informationsfluss und Meldewege
Wichtig für die Aufrechterhaltung des IT-Sicherheitsprozesses ist die Beschreibung und zeitnahe Aktualisierung der Meldewege und der Vorgehensweise für den Informationsfluss.
Dokumentationswesen
Es ist Aufgabe des IT-Sicherheitsbeauftragten bzw. des IT-Sicherheitsmanagement-Teams, stets aktuelle und aussagekräftige Dokumentationen zur IT-Sicherheit vorzuhalten. Für alle Dokumentationen im Rahmen des IT-Sicherheitsprozesses sollte es daher eine geregelte Vorgehensweise geben. Dazu gehören z. B. folgende Punkte:
- Dokumentationen müssen verständlich sein. Das bedeutet auch, dass sie zielgruppengerecht gestaltet werden müssen. Berichte an die Leitungsebene haben andere Anforderungen als technische Dokumentationen für Administratoren.
- Dokumentationen müssen aktuell und ihre Pflege muss festgelegt sein. Sie müssen so bezeichnet und abgelegt werden, dass sie im Bedarfsfall auch schnell gefunden werden können. Es müssen Angaben zu Erstellungsdatum, Version, Quellen und Autoren vorhanden sein. Veraltete Unterlagen müssen sofort aus dem Umlauf genommen und archiviert werden.
- Es sollte ein definiertes Verfahren existieren, um Änderungsvorschläge (inklusive der Erstellung neuer Dokumente) einzubringen, zu beurteilen und gegebenenfalls zu berücksichtigen.
- Neben der schnellen Informationsweitergabe an Berechtigte ist andererseits die Vertraulichkeit von organisationsinternen Details sicherzustellen. Vertrauliche Inhalte müssen als solche klassifiziert werden und die Dokumente sicher verwahrt und bearbeitet werden (siehe auch M 2.217 Sorgfältige Einstufung und Umgang mit Informationen, Anwendungen und Systemen).
Bei der Pflege der Vielzahl sicherheitsrelevanter Dokumente kann ein Dokumentenmanagement hilfreich sein (siehe auch M 2.259 Einführung eines übergeordneten Dokumentenmanagements).
Dokumentationen müssen nicht immer in Papierform vorliegen. Das Dokumentationsmedium kann je nach Bedarf gewählt werden. Zur Dokumentation können Übersichtsdiagramme (z. B. Netzplan), kurze Sitzungsprotokolle (z. B. jährliche Sitzung der Geschäftsführung zur Diskussion der IT-Sicherheitsstrategie), handschriftliche Notizen oder Software-Tools (z. B. zur Dokumentation des IT-Sicherheitskonzepts) genutzt werden.
Ergänzende Kontrollfragen:
- Sind für alle Phasen des IT-Sicherheitsprozesses ausreichende Dokumentationen vorhanden?
- Existieren Regelungen, um die Vertraulichkeit der Dokumentationen zu wahren?
- Sind die vorhandenen Dokumente auf dem neuesten Stand?