5-1 Informations- und Kommunikationssystemarchitektur Sicherheitsarchitektur IT-Sicherheit, Informationssicherheit ISO-Standards –ISO 13335: Management of information and communication technology security –ISO 17799: Information technology – Code of practice for information security management –ISO 27001: Information technology – Security techniques – Information security management systems requirements specification Quelle: BSI-Standard 100-1: Managementsysteme für Informationssicherheit (ISMS), Version 1.0, BSI, Bonn 2005
5-2 Informations- und Kommunikationssystemarchitektur BSI Bundesamt für Sicherheit in der Informationstechnik (BSI) BSI-Standards zur Informationssicherheit –100-1: Managementsysteme für Informationssicherheit –100-2: IT-Grundschutz – Vorgehensweise –100-3: Risikoanalyse auf der Basis von IT-Grundschutz –ISO Zertifizierung auf der Basis von IT-Grundschutz – Prüfschema für ISO Audits
5-3 Informations- und Kommunikationssystemarchitektur ISMS – Managementsystem für Informationssicherheit
5-4 Informations- und Kommunikationssystemarchitektur Umsetzung der IT-Sicherheitsstrategie
5-5 Informations- und Kommunikationssystemarchitektur Lebenszyklus im PDCA-Modell
5-6 Informations- und Kommunikationssystemarchitektur Aufgaben und Pflichten des Managements Übernahme der Gesamtverantwortung für IT-Sicherheit IT-Sicherheit integrieren IT-Sicherheit steuern und aufrecht erhalten Erreichbare Ziele setzen IT-Sicherheitskosten gegen Nutzen abwägen Vorbildfunktion Aufrechterhaltung der IT-Sicherheit und kontinuierliche Verbesserung
5-7 Informations- und Kommunikationssystemarchitektur Kommunikation und Wissen Berichte an die Leitungsebene Informationsfluss –Bereitstellung notwendiger Ressourcen –Einbindung der Mitarbeiter Dokumentation –Technische Dokumentation und Dokumentation von Arbeitsabläufen (Zielgruppe: Experten) –Anleitungen für IT-Anwender (Zielgruppe: IT-Anwender) –Reporte für Managementaufgaben (Zielgruppe: Leitungsebene, IT-Sicherheitsmanagement) –Aufzeichnung von Managemententscheidungen (Zielgruppe: Leitungsebene)
5-8 Informations- und Kommunikationssystemarchitektur IT-Sicherheitsprozess Planung des IT-Sicherheitsprozesses –Festlegung des Geltungsbereichs –Ermittlung von Rahmenbedingungen –Formulierung von Zielen und einer Leitlinie Umsetzung der IT-Sicherheitsleitlinie Erfolgskontrolle im IT-Sicherheitsprozess –Rahmenbedingungen noch gültig? –Ziele noch angemessen? –Leitlinie noch aktuell? –Strategie noch angemessen? –Zielerreichung möglich? –Wirtschaftlichkeit?
5-9 Informations- und Kommunikationssystemarchitektur IT-Sicherheitskonzept: Erstellung Methode zur Risikobewertung Klassifikation von Risiken und Schäden Risikobewertung Strategie zur Behandlung von Risiken Auswahl von IT-Sicherheitsmaßnahmen
5-10 Informations- und Kommunikationssystemarchitektur IT-Sicherheitskonzept: Umsetzung Erstellung eines Realisierungsplans –Prioritäten festlegen –Verantwortlichkeiten festlegen –Ressourcen bereitstellen –Umsetzungsplanung für einzelne Maßnahmen Umsetzung im engeren Sinne Steuerung und Kontrolle der Umsetzung
5-11 Informations- und Kommunikationssystemarchitektur IT-Sicherheitskonzept: Erfolgskontrolle / Verbesserung Auf Änderungen im laufenden Betrieb reagieren IT-Sicherheitsvorfälle erkennen Einhaltung der Vorgaben überprüfen Eignung und Wirksamkeit der Maßnahmen überprüfen Managementbewertungen
5-12 Informations- und Kommunikationssystemarchitektur IT-Grundschutz Sicherheitsprozess nach IT-Grundschutz –Risikobewertung Generelles Klassifikation von Risiken Eigentliche Bewertung der Risiken Identifikation von Schutzobjekten Schutzbedarfsfeststellung: Wie wirken sich Sicherheitsvorfälle auf die Geschäftsprozesse aus? –Erstellung der IT-Sicherheitskonzeption Übergeordnete Aspekte (z. B. Personal, Organisation) Infrastruktur (z. B. Gebäude) IT-Systeme Netz Anwendungen