|
Ziel
Mit Hilfe des Security Managements sollen die Daten und Infrastrukturen so geschützt werden, dass
- die Vertraulichkeit in angemessener Weise gewahrt ist
- die Integrität der Informationen sichergestellt ist,
- die Verfügbarkeit sichergestellt ist,
- die Beteiligung an einer Transaktion nicht geleugnet werden kann
- gesetzliche, vertragliche und aufsichtsrechtliche Verpflichtungen erfüllt werden kann
Beschreibung
Sicherheit ist ein bewegliches Ziel und in den meisten Fällen ein schwer planbares und kalkulierbares Vorhaben, da Änderungen oft von aussen, insbesondere beim Nachvollzug einer notwendigen technischen Neuerung, kommen. Die Integrität und der Schutz der Kunden und Geschäftsdaten sowie der IT Ressourcen ist jedoch für ein Unternehmen überlebenswichtig. Die Unternehmensleitung hat deshalb die Sicherheitspolitik des Unternehmens, respektive die abzusichernden Geschäftsbereiche einschliesslich ihrer Zielsetzung und Verpflichtung zur IT Sicherheit festzulegen und zu dokumentieren. Sie stellt sicher, dass diese auf allen Ebenen verstanden, verwirklicht und aufrecht erhalten wird. Sie verweist insbesondere auf:
- klar festgelegte Sicherheitsziele
- einen definierten Geltungsbereich
- umzusetzende Prinzipien und Verhaltensregeln
- Aufrechterhaltung des Sicherheitsprozesses in allen Disziplinen des Service Managements
Aufgaben I
Festlegung einer Unternehmensstrategie für den Umfang mit unternehmenskritischen Infrastrukturen
Zusammenstellen aller IT-Verfahren und -Komponenten unter Berücksichtigung von gegenseitigen Abhängigkeiten
Ermittlung und Festlegung der jeweiligen Kritikalität:
- Feststellen der möglichen Schwachstellen
- Beurteilung der Wahrscheinlichkeit des Schadenseintritts
- Abschätzen und Auswirkungen und Schadenshöhe unter Berücksichtigung von Verfügbarkeit, Vertraulichkeit und Integrität
- Festlegung der Kritikalitäts-Kategorie: unkritisch, kritisch, hochkritisch
Aufgaben II
Verifizierung der Entscheidung:
- Verbesserung der Objektivität durch Vergleiche und Ranglisten
- Beurteilung der Beeinflussbarkeit der Bereiche
- Schwerpunktsetzung , gegebenenfalls auch durch bewusste Inkaufnahme weniger hoch geschützter Bereiche
- Abschliessende Beurteilung / Entscheidung durch das Management unter Berücksichtigung der möglichen unternehmenskritischen Folgen
Massnahmen und Konzepte:
- Bereitstellung der notwendigen Ressourcen (Finanzmittel, Personal, Zeit, Ausbildung)
- Sicherstellen und Überprüfen der grundlegenden IT-Schutzmassnahmen
- Erstellen eines Massnahmenkataloges zur Verbesserung des Schutzes der als hochkritisch eingestuften Systeme
- Erstellen und Fortschreiben von Notfallplänen
- Durchsetzung und Kontrolle der Massnahmen und Konzepte (Führungsverantwortung)
Schlüsselbegriffe
- Vertraulichkeit
- Vertraulichkeit bedeutet, dass der Schutz vor Offenlegung von Informationen ohne Erlaubnis des Eigentümers sichergestellt wird.
- Integrität
- Integrität bedeutet, dass Schutz vor Modifikation von Informationen durch nicht berechtigte Personen sichergestellt wird.
- Verfügbarkeit
- Die für die Aufrechterhaltung des Geschäftsbetriebes kritischen Versorgungs-Einrichtungen sind der Beanspruchung, dem Ausfallrisiko, der notwendigen Verfügbarkeit und der sich aus dem Schutzbedarf ergebenen Vertraulichkeit und Integrität der Daten entsprechend ausgelegt.
Nutzen
- Erhöhung des Sicherheitsniveaus für Daten, Systeme und Anwendungen
- Verhinderung von Datenverlust
- Sicherstellung der Datenintegrität
- Gewährleistung der Vertraulichkeit der Daten
- Erfüllung von gesetzlichen Auflagen bezüglich des Datenschutzes
- Erhöhung der Vertrauens seitens der Kunden
- Sensibilisierung der Mitarbeiter im Sicherheitsbereich
Messkriterien
- Interne und externe Sicherheits-Audits
- Anzahl Intrusion Detections, Firewall-Attacken, Viren-Attacken etc.
Schaden, welcher bei Sicherheitsverletzungen entsteht (Image, Repair)
- Prozess-Kosten
|
