Sie erinnern sich vielleicht an unseren letzten Beitrag, dass ein solides Verständnis der sicherheitsrelevanten Werte eine fundamental wichtige Rolle bei der Vereinbarkeit der schnellen digitalen Transformation mit der IT-Sicherheit und der Einhaltung von Vorschriften spielt. Gehen wir davon aus, dass dieser Schritt zu unserer vollen Zufriedenheit abgeschlossen ist. Wie geht es nun weiter?
Bestimmung der Kritikalität der zu schützenden Werte
Da nicht alle Ihre Vermögenswerte die gleichen Sicherheitsanforderungen haben, muss der Schutzbedarf jedes einzelnen Vermögenswerts ermittelt werden. Schließlich gilt der Grundsatz, dass Vermögenswerte mit hohem Sicherheitsbedarf Vorrang vor anderen mit geringen Anforderungen haben müssen.
Aufgrund der großen Anzahl von Vermögenswerten ist jedoch die Skalierbarkeit bei der Bewertung des Schutzbedarfs ein wichtiger Aspekt, der berücksichtigt werden muss. Dazu greift der vorgelagerte Prozess der Strukturanalyse ein. Die Zusammenhänge zwischen Geschäftsprozessen, Informationssegmenten und IT-Systemen bilden den Ausgangspunkt für die Bewertung der Kritikalität von Primär- und Sekundärwerten. Primärwerte stellen im Allgemeinen Prozesse und Informationen dar, während Sekundärwerte unter anderem Hardware, Softwareelemente, Netzwerke, Personal und Gebäude umfassen. Beachten Sie, dass Primärwerte nicht angemessen geschützt werden können, ohne sekundäre Werte zu schützen. Schließlich werden Hard- und Software verwendet, um Informationen in Geschäftsprozessen so effizient und sicher wie möglich zu verarbeiten. Ist die Software oder Hardware jedoch unsicher, hat dies direkte Auswirkungen auf die Verfügbarkeit von Geschäftsprozessen oder die Vertraulichkeit von Informationen. Mit Hilfe der sogenannten Schutzbedarfsanalyse (SBA) lassen sich schützenswerte Daten von Unternehmen erkennen. Im Rahmen der Schutzbedarfsfestellung wird der Schutzbedarf für die Schutzbedarfsziele Integrität, Vertraulichkeit und Authentizität für Daten, Dokumente und IT-Anwendungen ermittelt. Der ermittelte Schutzbedarf für die Informationswerte wird von den IT-Anwendungen auf die dahinter liegenden IT-Systeme, Netzwerke und -komponenten vererbt. Grundlage für die Vererbung ist die Strukturanalyse der IT-Architektur mit der Identifikation und Gruppierung der IT-Informationswerte. Die Schutzbedarfsanalyse wird oftmals auf Basis von wenig skalierbaren (Excel)-Templates durch das Informationssicherheitsmanagement in den Fachbereichen erhoben. Der Einsatz softwaregestützten ISMS-Tools ist diesen Lösungen vorzuziehen.
Dazu entwickeln unsere Berater individuelle, skalierbare und automatisierte digitale Bewertungsverfahren, die Vererbungskonzepte von Assets nach Top-Down-, Bottom-Up-Strategien oder einer Mischung aus beidem nutzen.
Diese Lösungen generieren Dashboards, mit denen Sie sicherheitsrelevante Schwachstellen im gesamten Asset-Netzwerk in Echtzeit nachvollziehen können. Lernen Sie anhand des Use Cases SBA Automatisierung kennen, wie durch den Einsatz toolgestützter Instrumente der Prozess der Schutzbedarfsanalyse vereinfacht und automatisiert werden kann.
