Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 2.201 Dokumentation des IT-Sicherheitsprozesses - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 2.201 Dokumentation des IT-Sicherheitsprozesses

Verantwortlich für Initiierung: IT-Sicherheitsmanagement-Team

Verantwortlich für Umsetzung: IT-Sicherheitsmanagement-Team

Ein angemessenes Sicherheitsniveau lässt sich nur dann erreichen, wenn eine verständliche, angemessene, aktuelle und konsistente Dokumentation des IT-Sicherheitsprozesses vorhanden ist und eine geordnete Dokumentenverwaltung besteht.

Der Ablauf des IT-Sicherheitsprozesses sowie wichtige Entscheidungen und die Arbeitsergebnisse in den einzelnen Phasen sollten dokumentiert werden. Eine solche Dokumentation ist eine wesentliche Grundlage für die Aufrechterhaltung der IT-Sicherheit und damit entscheidende Voraussetzung für die effiziente Weiterentwicklung des Prozesses. Sie hilft dabei, die Ursachen von Störungen und fehlgeleiteten Abläufen zu finden und zu beseitigen. Wichtig ist dabei, dass nicht nur die jeweils aktuelle Version der betreffenden Unterlagen griffbereit gehalten wird, sondern auch eine zentrale Archivierung der Vorgängerversionen vorgenommen wird. Erst hierdurch ist eine kontinuierliche Rückverfolgung der Entwicklung im Bereich IT-Sicherheit, bei der die getroffenen Entscheidungen nachvollziehbar werden, gewährleistet.

Neben Dokumenten zum IT-Sicherheitsmanagement und dem IT-Sicherheitsprozess gibt es weitere für das IT-Sicherheitsmanagement relevante Dokumente. Abhängig vom Gegenstand und vom Verwendungszweck sind folgende Arten von Dokumentationen zu betrachten:

Berichte an die Leitungsebene

Damit die oberste Leitungsebene einer Behörde oder eines Unternehmens die richtigen Entscheidungen treffen kann, um IT-Sicherheit auf einem angemessenen Niveau zu gewährleisten, benötigt sie die dafür notwendigen Informationen. Hierfür sollte der IT-Sicherheitsbeauftragte bzw. das IT-Sicherheitsmanagement-Team regelmäßig sowie anlassbezogen Management-Reporte zum Status der IT-Sicherheit (siehe auch M 2.200 Managementreporte und -bewertungen der IT-Sicherheit) erstellen.

Dokumente zum IT-Sicherheitsprozess

Folgende Arten von Dokumentationen zum IT-Sicherheitsprozess sollten erstellt werden:

Dokumentation von Arbeitsabläufen

Arbeitsabläufe, organisatorische Vorgaben und technische IT-Sicherheitsmaßnahmen müssen so dokumentiert werden, dass IT-Sicherheitsvorfälle durch Unkenntnis oder Fehlhandlungen vermieden werden.

Es muss bei Störungen oder IT-Sicherheitsvorfällen möglich sein, den gewünschten Soll-Zustand der IT wiederherzustellen. Technische Einzelheiten und Arbeitsabläufe sind daher so zu dokumentieren, dass dies in angemessener Zeit möglich ist.

Dokumentation von Sicherheitsvorfällen

Sicherheitsrelevante Vorfälle müssen so aufbereitet werden, dass alle damit verbundenen Vorgänge und Entscheidungen nachvollziehbar sind. Ebenso soll es die Dokumentation ermöglichen, Verbesserungen an den Notfallstrategien vorzunehmen und bekannte Fehler zu vermeiden. Zur Bearbeitung von Sicherheitsvorfällen sind außerdem technische Unterlagen, wie Protokolle oder für den Vorfall besonders relevante System-Meldungen, zu speichern und zu archivieren. Die Regelungen des Datenschutzes müssen eingehalten werden.

Technische Dokumentation

Zu dieser Art von sicherheitsrelevanten Dokumentationen gehören:

Anleitungen für IT-Benutzer

IT-Sicherheitsmaßnahmen müssen für die IT-Benutzer verständlich dokumentiert werden. Den Benutzern müssen also

zur Verfügung stehen.

Es kann in seltenen Fällen vorkommen, dass ein Verstoß gegen eine Sicherheitsrichtlinie sinnvoll und notwendig ist. Ein solcher Verstoß muss aber auf jeden Fall durch eine autorisierte Stelle genehmigt werden. Ausnahmegenehmigungen dürfen nur nach gründlicher Prüfung und in den seltensten Fällen erteilt werden. Anschließend muss eine schriftliche Begründung verfasst werden, die vom Verantwortlichen zu unterzeichnen ist.

Informationsfluss und Meldewege

Wichtig für die Aufrechterhaltung des IT-Sicherheitsprozesses ist die Beschreibung und zeitnahe Aktualisierung der Meldewege und der Vorgehensweise für den Informationsfluss.

Dokumentationswesen

Es ist Aufgabe des IT-Sicherheitsbeauftragten bzw. des IT-Sicherheitsmanagement-Teams, stets aktuelle und aussagekräftige Dokumentationen zur IT-Sicherheit vorzuhalten. Für alle Dokumentationen im Rahmen des IT-Sicherheitsprozesses sollte es daher eine geregelte Vorgehensweise geben. Dazu gehören z. B. folgende Punkte:

Bei der Pflege der Vielzahl sicherheitsrelevanter Dokumente kann ein Dokumentenmanagement hilfreich sein (siehe auch M 2.259 Einführung eines übergeordneten Dokumentenmanagements).

Dokumentationen müssen nicht immer in Papierform vorliegen. Das Dokumentationsmedium kann je nach Bedarf gewählt werden. Zur Dokumentation können Übersichtsdiagramme (z. B. Netzplan), kurze Sitzungsprotokolle (z. B. jährliche Sitzung der Geschäftsführung zur Diskussion der IT-Sicherheitsstrategie), handschriftliche Notizen oder Software-Tools (z. B. zur Dokumentation des IT-Sicherheitskonzepts) genutzt werden.

Ergänzende Kontrollfragen: