Wie weisen Sie nach, dass Sie Sicherheit auch wirklich und nachhaltig implementiert haben? Dafür eignet sich das IT-Sicherheitskonzept. Das IT-Sicherheitskonzept ist die Symbiose aus dem Gesamtkonzept und dem speziellen Einzelfall. Immer wieder werden wir im Beratungskontext darum gebeten, spezielle Sicherheitskonzepte für individuelle oder neu eingesetzte Anwendungen zu entwickeln. Aufgabe ist es, die vorhandenen Prozesse, die Anwendung und Ihre Risiken zu identifizieren, zu analysieren und die besten Maßnahmen für einen sicheren Betrieb zu erarbeiten. Dabei setzen wir als Althammer & Kill die Vorgaben des BSI-Grundschutzes.
Das Vorgehen ist dabei einheitlich definiert, damit auch unabhängige Dritte entsprechende Ableitungen treffen können.
Die Vorgehensweise
Der Informationsverbund
Je nachdem, wofür Sie das Sicherheitskonzept benötigen, muss dieser Verbund definiert werden. Dazu gehört es, neben der Anwendung beziehungsweise dem Geltungsbereich auch zu identifizieren, welche Partner, Dienstleister und Schnittstellen vorhanden sind. Denn nur ein vollständiger Überblick ermöglicht vollständigen Schutz.
Die Strukturanalyse
Tiefergehend folgt die Strukturanalyse. Welche Systeme, welche Software, welche Bibliotheken kommen zum Einsatz? Der „Deep Dive“ versetzt Sie in die Lage, das zu schützende Gut vollständig zu verstehen und so die weiteren Prozesse zu ermöglichen.
Schutzbedarfsfeststellung
Bei der Schutzbedarfsfeststellung ermitteln wir, welchen Schutz Sie für die vorbenannten Prozesse, Systeme und Informationen Sie auswählen sollten. Dabei wird auch kritisch geprüft, was für Anforderungen sich aus Verträgen oder Gesetzen ableiten.
Modellierung
Auf Basis der Schutzbedarfsfeststellung werden fortan die Maßnahmen modelliert. Dabei hilft ein Blick in die BSI-Grundschutz-Kataloge, aber auch eigene Maßnahmen können sinnvolle Ergänzungen zum Schutz Ihrer Werte darstellen.
Basis-Sicherheitscheck
Hier wird geprüft, welche Anforderungen Sie schon erfüllen und ob Sie weitere umsetzen sollten. Ein Basis-Sicherheitscheck – den man auch als Bestandsaufnahme betrachten könnte – offenbart die Stärken und Schwächen Ihres bisherigen Handelns.
Ergänzende Sicherheitsanalyse
Die ergänzende Sicherheitsanalyse stellt fortan sicher, dass nicht vollständig abgedeckte Aspekte identifiziert werden. Hierbei werden natürlich die vorgelagerten Phasen genutzt, um das Schutzniveau signifikant erhöhen zu können.
Risikoanalyse
Bei der nun folgenden Risikoanalyse werden die erkannten Risiken den Maßnahmen gegenübergestellt und geprüft, ob diese nachhaltig und effektiv die Risiken mindern. Ist das nicht der Fall, werden weitere Maßnahmen identifiziert, geprüft und umgesetzt. Eine erneute Risikoanalyse ermöglicht dann die erneute Prüfung der Risikoreduktion.
Dokumentation
Selbstredend muss das aus der Vorgehensweise erstellte Konzept dokumentiert werden. Dabei ist zu betrachten, dass das IT-Sicherheitskonzept auch für die Personen verständlich dokumentiert ist, die es umsetzen müssen – ein Sicherheitskonzept, das für den praktischen Umgang mit der Anwendung nicht geeignet ist, erfüllt den eigentlichen Zweck nicht. Deshalb ist es ratsam, bei der Erstellung des Sicherheitskonzeptes auch die relevanten Stakeholder mit einzubeziehen.
Fertig – und nun? Das lebende Sicherheitskonzept
Wie in allen Bereichen von Sicherheit und Qualität muss man verstehen, dass auch ein Sicherheitskonzept ein lebendes Dokument ist. Neue Funktionen, neue Dienstleister oder gravierende Änderungen machen es notwendig, das Sicherheitskonzept zu aktualisieren und es den veränderten Gegebenheiten anzupassen. Nur gelebte und lebendige IT-Sicherheit hat auch langanhaltende und nachhaltige Wirkung. Deshalb muss das Sicherheitskonzept in die Dokumentenprüfung überführt und seine Aktualisierung aktiv fortgeführt werden.
Althammer & Kill – Ihre Partner für IT-Sicherheit
Als professioneller Partner beraten und unterstützen wir Sie bei der Erstellung, Einführung und Fortführung entsprechender Sicherheitskonzepte. Hierbei können wir auf jahrelange Erfahrung zurückblicken und haben mehrfach Kunden bei der Implementierung nachhaltiger und effektiver IT-Sicherheit unterstützt.