Umsetzung der branchenspezifischen Sicherheitsstandards (B3S) mit DocSetMinder
ISMS-Scope und Schutzziele
Die genaue Kenntnis der Unternehmensorganisation und ihre Assets ist eine elementare Voraussetzung für die Bestimmung des Geltungsbereichs und Festlegung der KRITIS-Schutzziele. Für das detaillierte Asset Management stehen die Module „Organisation“, „IT-Dokumentation“ und „Steuerungs- und Leitsysteme“ zur Verfügung. Die Module stellen die notwendigen Strukturen und Dokumentklassen für die Erfassung der Aufbau- und Ablauforganisation im erforderlichen Detaillierungsgrad zur Verfügung. Erfasst werden sämtliche Organisationseinheiten (z.B. Bereiche und Abteilungen) sowie Geschäftsprozesse und Verfahren mit den Verantwortlichkeiten (Rollen) in der Organisation. Die Schnittstellen zu extern erbrachten Leistungen können transparent aufgezeichnet werden. Für die Dokumentation der IT-Prozesse steht die ITIL Struktur zur Verfügung. Verträge und Richtlinien werden erstellt, aktualisiert und den Mitarbeitern kommuniziert. Der integrierte grafische Flussdiagramm-Editor unterstützt die grafische Darstellung (u.a. nach BPMN) der Sachverhalte. Das Modul „IT-Dokumentation“ unterstützt eine systematische Dokumentation der IT-Infrastruktur: Passive und aktive Netzwerkkomponenten, Server-Systeme, Arbeitsplätze, Peripheriegeräte, Dienste und Anwendungen sowie Gebäude, Gebäudesicherheit und Räume. Die Dokumentation stellt die logischen Zusammenhänge zwischen Geschäftsprozessen, Software und Serversystemen sowie den Speicherorten für die entstehenden Daten dar. Das Modul „Steuerungs- und Leitsysteme“ ist nach den Vorgaben des IT-Sicherheitskataloges der Bundesnetzagentur in Anlehnung an den BDEW in drei Technologiekategorien strukturiert („Leitsysteme und Systembetrieb“, „Übertragungstechnik und Kommunikation“, „Sekundär-, Automatisierungs- und Fernwirktechnik“). Der erforderliche Netzstrukturplan kann mit dem DocSetMinder Flussdiagramm-Designer erstellt werden. Der gesetzliche Rahmen wird in einem Rechtskataster erfasst.
ISMS – ISO/IEC 27001 vs. BSI-Standards 200-x
Das Modul „ISO/IEC 27001“ bildet die High Level Structure der ISO-Welt ab und fordert somit den prozessorientierten Ansatz im PDCA-Zyklus. Ergänzend stehen in den Stammdaten von DocSetMinder diverse Gefährdungs- und Maßnahmenkataloge zur Verfügung. Dazu gehören vor allem die Maßnahmen aus dem Annex A der ISO/IEC 27001, optional die Maßnahmen der ISO 27019 und der BSI-Grundschutz-Kataloge. Eine individuelle Erweiterung der Gefährdungs- und Maßnahmenkataloge ist jederzeit möglich. Die Maßnahmen aus dem Annex A und der ISO 27019 werden u.a. bei der automatischen Erstellung der Anwendbarkeitserklärung (SoA), der Projektplanung (Umsetzungsstatus der Maßnahmen und Verantwortlichkeiten) und Planung der internen Audits verwendet. Das ISMS-Projektteam kann zwischen zwei Umsetzungsmethoden wählen: ISO/IEC 27001 „nativ“ oder unter Einbeziehung einiger Aspekte des BSI-IT-Grundschutzes, wie z.B. Schutzbedarfsfeststellung und -vererbung. Alternativ kann das Modul „BSI IT-Grundschutz“ verwendet werden. DocSetMinder® setzt mit dem Modul „BSI IT-Grundschutz“ konsequent alle Anforderungen und die Methodik des BSI Standards 200-2 /-3 um. Durchdachte Softwarefunktionen unterstützen die Anwender aktiv in jeder Phase des Sicherheitsprozesses, von der Planung, über die Umsetzung und Dokumentation, bis hin zum Audit. Kern des Moduls bildet das Schichtenmodell des IT-Grundschutz-Kompendiums, für die Modellierung der prozess- und systemorientierten Bausteine, detailliert ab. Das Schichtenmodell kann individuell erweitert werden. Während der Modellierung der einzelnen Schichten und Zielobjekte, werden die entsprechenden Bausteine automatische vorgeschlagen. Bausteine, die bereits bei Zielobjekten gleicher Art verwendet wurden, können optional übernommen werden. Der festgestellte Schutzbedarf kann gemäß den BSI-Methoden auf die untergeordneten Schichten vererbt werden. Die Abhängigkeiten zwischen den Zielobjekten in unterschiedlichen Schichten kann automatisch grafisch dargestellt werden. Die Ausfälle von Zielobjekte, wie z.B. Storage und deren Auswirkung auf die kritischen Dienstleistungen können simuliert werden.
Risikomanagement für die kritische Dienstleitungen
Die KRITIS-Organisationen sind verpflichtet geeignete Behandlung aller für die kritische Dienstleistungen relevanten Risiken zu etablieren. Dafür stehen in DocSetMinder wahlweise Risikomanagement gemäß dem BSI-Standard 200-3 und ISO 27005 zur Verfügung. Für die Risikoidentifikation werden in der Regel die bereits erwähnten Gefährdungs- und Schwachstellenkataloge verwendet. Die Risikoanalyse unterstützt die Bewertung der Risiken unter Berücksichtigung von Eintrittswahrscheinlichkeit und Auswirkung in Form einer 4×4 Matrix. Die Dimensionen der Risikomatrix können individuell angepasst werden. Die Auswirkung wird aus den beliebige definierbaren und erweiterbaren Schadenskategorien, z.B. durch den IT-Sicherheitskatalog errechnet.
Notfallmanagement und Übungen
Für die Umsetzung des betrieblichen Kontinuitätsmanagements (BCM) steht das Modul „Notfallmanagement“ zur Verfügung. Mit Hilfe dieses Moduls kann das Notfallmanagement wahlweise gemäß BSI-Standard 100-4 oder nach ISO 22301 geplant und realisiert werden. Das Modul zeichnet sich durch eine klare Struktur mit funktionalen Vorlagen (Dokumentklassen) für die Dokumentation u.a. des Anwendungsbereichs, der Notfallorganisation, der Business Impact Analyse für kritische Dienstleistungen (inkl. Berechnungsformeln) und der Risikoanalyse aus. Das Notfallhandbuch für bestimmte Notfallszenarien beinhaltet Handlungsanweisungen in drei Phasen: Alarmierung /Sofortmaßnahmen, Geschäftsfortführungspläne und Wiederherstellung des Normalbetriebes (Wiederanlauf). Das mit DocSetMinder generierte Notfallhandbuch kann in Papierform oder digital im HTML-Format zur Verfügung gestellt werden. Die Notfallhandbücher können automatisch, sicher (FTPS) und immer in einer aktuellen Version auf diverse Standorte verteilt, und allen involvierten Mitarbeitern (Notfallteams und Krisenstab) einer Institution elektronisch für Smatphones, Tablets und Notebooks zur Verfügung gestellt werden. Die Notfallübungen können geplant, ihre Durchführung dokumentiert und bewertet werden. Die in den Notfallübungen festgestellte Unzulänglichkeiten können in Form von Korrekturmaßnahmen erfasst und umgesetzt werden.
Reporting und Word-Export
Für die Auswertung des Sicherheitskonzeptes gemäß B3S steht den Anwendern eine sehr leistungsfähige Reporting-Funktion zur Verfügung. Die Reports A0-A6 sind sowohl beim Einsatz vom Modul „BSI IT-Grundschutz“ als auch Moduls „ISMS ISO 27001“ bereits vorinstalliert. Sie können durch den Anwender selbständig und ohne Wirkung des Herstellers um weitere individuelle Reports erweitert oder die bestehenden Reports angepasst werden. Dafür sind keine besondere SQL oder sonstige technische Kenntnisse erforderlich. Die Reporting-Funktion ist benutzerfreundlich und verfügt über einen Report-Layout-Generator. Beliebige Werte können „verdichtet“ und in Form von Grafiken (Torte-, Balken-Diagramm etc.) angezeigt werden. Alternativ kann die gesamte und nur Teile der B3S-Dokumentation ins MS Word oder als PDF-Dokument extrahiert werden.
Fazit
Mit Hilfe von DocSetMinder können die branchenspezifische Standards B3S vollständig geplant und umgesetzt werden. Die dokumentierten Sachverhalte dienen dem Nachweis gemäß § 8a (3) BSIG und können als Prüfgrundlage verwendet werden. Der Funktionsumfang der Software macht den Einsatz weiterer Tools oder Office-Anwendungen für überflüssig. Die Lösung ist einfach zu implementieren und intuitiv bedienbar. Die gemeinsame Nutzung der erfassten Informationen bietet für jeden Verantwortlichen einen enormen Mehrwert durch die Aktualität und eine signifikante Zeitersparnis bei der Vorbereitung von internen und externen Audits.
DocSetMinder ist Best Practice – und Sie sind jederzeit „Ready for Audit“
Von Krzysztof Paschke, Allgeier CORE GmbH
Die Allgeier CORE GmbH ist ein Unternehmen der international agierenden Unternehmensgruppe Allgeier. Allgeier beschäftigt über 10.000 Mitarbeiter weltweit und gehört in Deutschland zu den führenden Anbietern für branchenübergreifende IT-Dienstleistungen.
Die Allgeier CORE GmbH mit dem Sitz in Kiel bietet seit dem Jahr 2004 ihren Kunden in Deutschland sowie im deutschsprachigen Ausland die Compliance Management Software DocSetMinder® an. Die Software ist in Konzernen und mittelständischen Unternehmen aus unterschiedlichsten Branchen ebenso wie bei Körperschaften des öffentlichen Rechts, Forschungsinstituten, Universitäten und Hochschulen sowie Behörden von Ministerien bis zu Landkreisen im Einsatz. Der DocSetMinder® ist ein multifunktionales Werkzeug für die Planung, Umsetzung und permanenten Verbesserung der IT-Governance, Unternehmensorganisation (IMS) und Compliance einer Organisation.
Weitere Informationen: https://www.docsetminder.de
Allgeier CyRis GmbH
Schauenburgerstraße 116
24118 Kiel
Telefon: +49 (431) 53033-990
Telefax: +49 (431) 53033-999
https://www.allgeier-grc.de
Team Manager DocSetMinder®
Telefon: +49 (431) 53033-990
Fax: +49 (431) 53033-999
E-Mail: piotr-walter.nuernberg@allgeier-core.com
Geschäftsführer
Telefon: +49 (431) 53033-991
Fax: +49 (431) 53033-999
E-Mail: krzysztof.paschke@allgeier-core.com