Cyber Security – IT-GRUNDSCHUTZ

COMPLION ist kompetent, IT-Sicherheitskonzepte, insbesondere nach dem IT-Grundschutz des BSI einfach und arbeitsökonomisch zu erstellen. Bei dieser Konzeption ist die Risikoanalyse für die in Frage kommenden Bedrohungen bereits ermittelt und mit Eintrittswahrscheinlichkeiten bewertet. So können die geeigneten Sicherheitsmaßnahmen ausgewählt werden. Eine Analyse von Grund auf wird so entbehrlich. Es wurden die für typische Einsatzszenarien passenden standardisierten Sicherheitsanforderungen ausgewählt, die dann von den Anwendern in Sicherheitsmaßnahmen überführt werden. Bei der IT-Grundschutz-Methodik reduziert sich die Analyse auf einen Soll-Ist-Vergleich zwischen den im IT-Grundschutz-Kompendium empfohlenen und den bereits umgesetzten Sicherheitsanforderungen. Die noch offenen Anforderungen zeigen die Sicherheitsdefizite auf, die es zu beheben gilt.

Die im IT-Grundschutz-Kompendium aufgeführten Anforderungen sollten erfüllt werden, um ein angemessenes Sicherheitsniveau zu erreichen. Die Anforderungen sind in Basis- und Standard-Anforderungen sowie Anforderungen für erhöhten Schutzbedarf unterteilt.

Das IT-Grundschutz-Kompendium unterteilt zunächst in prozess-und systemorientierte Bausteine, wie auf der folgenden Abbildung dargestellt.

SICHERHEITSKONZEPTION FÜR DEN IT-GRUNDSCHUTZ

Zur Einrichtung des IT-Grundschutzes wird die vorhandene IT-Architektur mithilfe der vorhandenen Bausteine modelliert. Dafür müssen alle relevanten Prozesse, Anwendungen und IT-Systeme erfasst, sodann eine Strukturanalyse und schließlich meist eine Schutzbedarfsfeststellung vorliegen. Darauf aufbauend wird ein IT-Grundschutz-Modell der Architektur erstellt (sh. Abbildung links).

Innerhalb dieses Modells gelten (a.) Prozess-Bausteine (in der Regel für sämtliche oder große Teile des Informationsverbunds gleichermaßen). Diese unterteilen sich in die folgenden Schichten:

Prozess-Bausteine

  • ISMS (implementierte Anforderungen)
  • ORP (Organisation und Personal)
  • CON (Konzepte und Vorgehensweisen)
  • OPS (Betrieb)
  • DER (Detektion & Reaktion).

Das IT-Grundschutz-Kompendium umfasst des Weiteren auch System-Bausteine. Diese werden in der Regel auf einzelne Zielobjekte oder Gruppen von Zielobjekten angewendet:

System-Bausteine

  • APP (Anwendungen)
  • SYS (IT-Systeme)
  • IND (Industrielle IT)
  • NET (Netze und Kommunikation)
  • INF (Infrastruktur).

COMPLIANCE IN IT UND DEN TECHNISCHEN UNTERNEHMENSBEREICHEN

Das Management der Risiken einer komplexen IT oder technischen Infrastruktur und die Gewährleistung von Informationssicherheit wird derzeit durch dichter werdende Regulierung zunehmend komplexer. Persönliche Risiken der Verantwortlichen nehmen zu; entsprechende Instrumente werden erforderlich; Unkenntnis bietet keine Exkulpation sondern begründet vielmehr ein Übernahmeverschulden.

Wir entwickeln dem Stand der Technik entsprechende, nachhaltige Steuerungsprozesse und -instrumente für die IT-Verantwortlichen. Dazu zählen insbesondere die Normen nach ISO 2700x, die wir in den Versionen/Entwürfen 2013/15/17 beherrschen.

Typische Themen unserer Arbeit sind etwa:

  • ISMS (Managementsysteme für Informationssicherheit) und IT-Grundschutz,
  • BCM (Business Continuity Management),
  • Führungsinstrumente für die Verantwortlichen,
  • Kommunikation und Sicherung der Maßnahmenumsetzung,
  • Zieldefinitionen der Informationssicherheit und ihre Operationalisierung,
  • Risiko-Assessment, speziell von IT-Assets, Bedrohungen, Angriffsszenarien und -vektoren,
  • Risiko-Controls, also Informations-, Klassifikations- und Warnsysteme,
  • Risiko-Management, insbesondere Methoden und Maßnahmen,
  • Risiko-Dokumentation zum Compliance-Nachweis.

Wir unterstützen Unternehmen und Funktionsträger nicht nur beim Aufbau von IT-Governance- und Compliance-Instrumenten. Lösungen organisatorischer sowie technischer Art, etwa zum Monitoring Ereignissen und Risiken, können sodann eingeführt und für Sie betrieben werden. Wir stehen bereit, etwa auch Managed Services für Sie zu übernehmen.