M 2.380 Ausnahmegenehmigungen
Verantwortlich für Initiierung: IT-Sicherheitsmanagement, Vorgesetzte
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement, Vorgesetzte
In Einzelfällen kann es sinnvoll und notwendig sein, von einer getroffenen Sicherheitsrichtlinie abzuweichen. Ausnahmen sollten möglichst vermieden werden, es ist aber auf jeden Fall besser, eine Ausnahme zuzulassen, als unnachgiebig auf Vorgaben zu bestehen, die im konkreten Einzelfall unsinnig sind. Sollten sich Ausnahmen häufen, ist dies ein Zeichen dafür, dass die vorhandenen Regelungen nicht geeignet sind. Daher müssen dann die Sicherheitsvorgaben überdacht und eventuell angepasst werden.
Ausnahmen müssen aber auf jeden Fall durch eine autorisierte Stelle genehmigt werden. Ausnahmegenehmigungen dürfen nur nach gründlicher Prüfung und in seltenen Fällen erteilt werden. Es muss für alle Ausnahmefälle überprüft werden, ob diese die Sicherheit nicht untergraben. Dafür ist eine Risikobewertung vorzunehmen. Anschließend muss eine schriftliche Begründung verfasst werden, die von den Verantwortlichen zu unterzeichnen ist. Bei der Genehmigung von Ausnahmen sind sowohl Fachverantwortliche als die "Eigentümer" von Informationen und Anwendungen, als auch das IT-Sicherheitsmanagement zu beteiligen.
Ausnahmen dürfen nur genehmigt werden, wenn dass ermittelte Risiko als tragbar eingestuft wurde. Ausnahmegenehmigungen sollten zeitlich klar befristet werden. Es muss regelmäßig überprüft werden (spätestens alle 12 Monate), ob die Ausnahmegenehmigungen noch erforderlich sind und ob Ausnahmegenehmigungen, die während einer bestimmten Phase notwendig waren, anschließend wieder aufgehoben werden.
Für die Erteilung von Ausnahmegenehmigungen sollte ein dokumentiertes Verfahren existieren. Es sollte mindestens folgendes dokumentiert werden:
- Begründung, warum eine Abweichung von den Sicherheitsvorgaben erforderlich ist und welche Vorgaben betroffen sind,
- Beschreibung der Ausgestaltung der Ausnahmegenehmigungen sowie Beschreibung der Auswirkungen und des betroffenen Bereichs, inklusive der Risikobewertung,
- Zeitpunkt der Einrichtung,
- Antragsteller und Genehmigender,
- Befristungen.
Über Abweichungen von den geltenden Sicherheitsvorgaben sind alle betroffenen Mitarbeiter zu informieren.
Ergänzende Kontrollfragen:
- Gibt es ein Genehmigungs- und Dokumentationsverfahren für Ausnahmegenehmigungen?
- Werden die Begründungen für Ausnahmegenehmigungen regelmäßig überprüft?
- Ist sichergestellt, dass alle Ausnahmegenehmigungen aufgehoben werden, sobald sie nicht mehr erforderlich sind?
- Werden die möglichen Konsequenzen von Abweichungen analysiert?