Wir erstellen professionelle IT-Sicherheitskonzepte für ihr Unternehmen!
Warum ein IT-Sicherheitskonzept erstellen?
Juristische und kaufmännische Vorgaben (Compliance) erfordern in Unternehmen und Behörden einen strukturierten Prozess, um ein hohes IT-Sicherheitsniveau zu erlangen und beizubehalten. CIO Solutions unterstützt die Einführung und den Betrieb eines ISMS nach der ISO/IEC 2700x-Reihe sowie nach Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik (BSI) mit zertifizierten Spezialisten.
Der IT-Sicherheitsbeauftragte – oft auch als CISO (Chief Information Security Officer) bezeichnet – hat eine hervorgehobene Rolle in der Organisation. Er ist für die Steuerung des gesamten Prozesses zur IT-Sicherheit zuständig und berichtet direkt an die Unternehmensleitung. CIO Solutions kann mit der Stellung eines externen IT-Sicherheitsbeauftragten unterstützen.
Grundsätzlich empfehlen wir die Vorgehensweise nach der BSI-Methodik (insbesondere BSI Standards 100-1, 100-2 und 100-3), da die Grundschutzkataloge des BSI wesentlich detailliertere Vorgaben machen als die Spezifikationen nach ISO/IEC 2700x. Überdies richtet das BSI auch die Grundschutzkataloge nach der ISO-Norm aus und erreicht dadurch eine weitgehende Kompatibilität.
Unsere Leistungen im Bereich IT-Sicherheitskonzepte
Unser IT-Sicherheit Team erarbeitet für Sie auf der Basis von vorgegebenen Anforderungsprofilen oder aufgrund der im Rahmen eines IT-Sicherheits-Audits festgestellten Sicherheitsschwächen konkrete Handlungsempfehlungen, um einen umfassenden Schutz Ihrer Informationssysteme zu erreichen bzw. zu erhalten.
Besonderes Augenmerk wird dabei auf die Grundschutzziele Verfügbarkeit, Vertraulichkeit und Integrität gelegt, deren zu erstrebendes Niveau durch Ihre Vorgaben bestimmt wird.
IT-Sicherheits-Audit/Basis-Sicherheitscheck
Mit einem umfänglichen IT-Sicherheits-Audit oder einem Basis-Sicherheitscheck bietet CIO Solutions Ihrem Unternehmen wichtige analytische Grundlagen zur Einschätzung des Sicherheitsstatus Ihrer Informationstechnologie. Die Prüfung Ihrer Informationssysteme im Hinblick auf mögliche Sicherheitsmängel oder -lücken führen unsere Spezialisten nach pragmatischen Ansätzen in Anlehnung allgemein anerkannter Standards (BSI/ISO) durch.
Die Untersuchung und Bewertung aller Aspekte der bestehenden Infrastruktur umfasst alle Komponenten, vom Netzwerk und Gateway über Server bis hin zu Desktops bzw. Notebooks, die dazugehörigen nicht-automatisierten Abläufe und die dazwischenliegenden Schnittstellen. Ebenso werden die weiteren Infrastrukturen (Gebäude, Räume, Verkabelung, Strom, USV, Netzersatz und Klimaanlagen) betrachtet.
Mit dem Ergebnis eines IT-Sicherheits-Audits erhalten Sie einen umfassenden Überblick zu bestehenden oder drohenden Sicherheitslücken oder -mängeln in Ihren Informationssystemen. Handlungsempfehlungen zur Beseitigung der Schwächen runden den Audit-Bericht ab.
Im Rahmen eines ISMS sollten regelmäßig Penetrationstests durchgeführt werden, um die Wirksamkeit der IT-Sicherheitsmaßnahmen zu beurteilen. Weitere Informationen zu Penetrationstests finden Sie hier.
Was ist IT-Sicherheit?
Im Allgemeinen wird mit Sicherheit ein Zustand bezeichnet, der frei von unkalkulierbaren bzw. unvertretbaren Risiken ist. Im Bereich der Informationstechnologie ist Sicherheit ein relativer Begriff, denn der Grad der zu erreichenden Sicherheit hängt vom Schutzbedarf der zu sichernden Daten ab.
Folgende primären Schutzziele werden unterschieden:
- Vertraulichkeit: Daten stehen nur Berechtigten zur Verfügung
- Verfügbarkeit: Daten stehen dann zur Verfügung, wenn sie benötigt werden
- Integrität: Daten sind vollständig und unverändert
Bei Bedarf werden auch weitere sekundäre Schutzziele verfolgt, wie z.B. Revisionssicherheit, Authentizität, Verbindlichkeit etc.
Da Informationen nicht nur mit Hilfe von Informationstechnologie, sondern auch in anderer Form verarbeitet werden, wird äquivalent zum Begriff IT-Sicherheit auch zunehmend der Begriff Informationssicherheit verwendet.
Was ist ISMS?
ISMS steht als Abkürzung für Information Security Management System bzw. Informationssicherheits-Managementsystem.
Zuständig für die Umsetzung der IT-Sicherheit ist der IT-Sicherheitsbeauftragte bzw. CISO (Chief Information Security Officer), der als Mitglied der ersten Führungsebene (C-Level) eines Unternehmens dem IT-Leiter bzw. CIO (Chief Information Officer) mindestens gleichgestellt sein sollte. Er berichtet in der Regel der Unternehmensleitung, also der Geschäftsführung bzw. dem Vorstand oder CEO (Chief Executive Officer).
Die Umsetzung eines ISMS wird im Wesentlichen nach zwei etablierten Standards betrieben. Im Bereich der freien Wirtschaft ist die Norm ISO/IEC 27001 verbreitet. In Behörden und Verwaltungen wird zumeist IT-Grundschutz des BSI umgesetzt.
Was ist ISO 27001?
Die internationale Norm ISO/IEC 27001 ging aus dem britischen Standard BS 7799 hervor und spezifiziert die Anforderungen für Herstellung, Einführung, Betrieb, Überwachung, Wartung und Verbesserung eines dokumentierten Informationssicherheits-Managementsystems unter Berücksichtigung der IT-Risiken innerhalb der gesamten Organisation. Die Spezifikationen der ISO-Norm sind wesentlich abstrakter gehalten, als die des BSI-Grundschutzes. Auch Zertifizierungen nach Norm ISO/IEC 27001 sind möglich.
Was ist BSI-Grundschutz?
BSI-Grundschutz ist ein vom Bundesamt für Sicherheit in der Informationstechnik ursprünglich zur Umsetzung in Behörden und Verwaltungen entwickelter Standard eines angemessenen Informationssicherheits-Managements. Der Standard ist weltweit einmalig und mittlerweile allgemein anerkannt. Im Folgenden die wichtigsten Dokumente des BSI-Grundschutzes:
- BSI-Standard 100-1 (Managementsysteme für Informationssicherheit (ISMS): Dieser Standard definiert allgemeine Anforderungen an ein ISMS und ist kompatibel zum ISO-Standard 27001.
- BSI-Standard 100-2 (IT-Grundschutz-Vorgehensweise): Dieser Standard beschreibt Schritt für Schritt, wie ein Managementsystem für Informationssicherheit aufgebaut und betrieben werden kann. Außerdem wird ausführlich beschrieben, wie ein Sicherheitskonzept in der Praxis erstellt werden kann.
- BSI-Standard 100-3 (Risikoanalyse auf der Basis von IT-Grundschutz): Dieser Standard beschreibt, wie ein über das normale Maß hinausgehendes Sicherheitsniveau in den Bereichen Organisation, Personal, Infrastruktur und Technik erreicht werden kann.
- BSI-Standard 100-4 (Notfallmanagement): Dieser Standard beschreibt, wie ein Notfallmanagement in einer Behörde oder einem Unternehmen systematisch aufgebaut werden kann, um die Kontinuität des Geschäftsbetriebs sicherzustellen.
- IT-Grundschutz-Kataloge: Als Dokumentensammlung enthalten sie beispielhaft Bausteine, Gefährdungen und Maßnahmen, die den einzelnen zu betrachtenden Objekten zuzuordnen sind. Dabei werden fünf Schichten berücksichtigt:
- Schicht 1: Übergreifende Sicherheitsaspekte (z.B.: Sicherheitsmanagement, Organisation, Datensicherungskonzept, Antiviren-Konzept, etc.)
- Schicht 2: Baulich-technische Gegebenheiten (z.B.: Gebäude, Serverraum, Schutzschränke, Häuslicher Arbeitsplatz, etc.)
- Schicht 3: IT-Systeme (z.B.: TK-Anlage, Laptop, Client unter Windows XP, etc.)
- Schicht 4: Netze (z.B.: Heterogene Netze, WLAN, Remote Access, VPN, etc.)
- Schicht 5: Anwendungen (z.B.: E-Mail, Webserver, Faxserver, Datenbanken, etc.)
Im Gegensatz zur ISO/IEC 27001 werden vom BSI-Grundschutz detaillierte Vorgaben bis auf Konfigurationsebene gemacht. Die standardkonforme Umsetzung der Informationssicherheit kann vom BSI nach einem Audit im Rahmen eines ISO/IEC 27001-Zertifkats auf Basis von IT-Grundschutz zertifiziert werden, das die Vorzüge des BSI-Grundschutzes mit denen der ISO-Norm verknüpft.