Schutzbedarfsanalyse – Das Kernelement eines Informations-Sicherheits-Management-Systems

17. März 2017 in Kategorie IT / Orga / Neue Medien

von
Mike Bona-Stecki
IT-Revisor, Interne Revision, Sparkasse Langen-Seligenstadt


Angesichts steigender Bedrohungen müssen sich Finanzdienstleistungsinstitute stärker vor Cyberangriffen schützen. Der Schutz von Unternehmenswerten, Daten und kritischen Informationen erfordert, dass die zur Abbildung von Unternehmensprozessen eingesetzten IT-Systeme und -Infrastruktur ange-messen bewertet und abgesichert sind. Damit einhergehend wird der Fokus außerdem immer stärker auf ein ganzheitliches Informationsrisikomanagement gelenkt, mit welchem u. a. die SOLL-IST-Abweichung bei Sicherheitsmaßnah-men festgestellt werden soll.

Am Anfang eines strukturierten Informationsrisikomanagements stehen die Schutzbedarfsanalyse und damit die Feststellung des Schutzbedarfs. Mit Hilfe der Schutzbedarfsanalyse kann eine (Basis-)Überprüfung der Prozesslandschaft bzw. der (IT-)Infrastruktur vorgenommen werden, um die Vorgaben für ein unternehmensweites Sicherheitsniveau schaffen zu können. Im Fokus der Schutzbedarfsanalyse steht hierbei die Fragestellung, wie viel Schutz die betrachteten Unternehmenswerte und (IT-)Objekte in Bezug auf die Informationssicherheit benötigen.

Gesetzliche und aufsichtliche Anforderungen fordern von Finanzdienstleistungsinstituten bereits seit mehreren Jahren die Etablierung eines angemessenen Informations- Sicherheits-Management-Systems (ISMS) auf Basis eines gängigen Standards. Dabei stellt die Ermittlung des Schutzbedarfs ein grundlegendes Element zur Umsetzung dieser Standards dar.

Die nachhaltige Forderung für eine Schutzbedarfsanalyse wird – nach aktuellem Stand – zukünftig direkt aus den Mindestanforderungen an das Risikomanagement (MaRisk) AT 4.3.2 ableitbar sein
(siehe BaFin 2016: Mindestanforderungen an das Risikomanagement (MaRisk). Konsultation 02/2016 vom 18.02.2016).

Im Detail heißt es hierzu: „Für IT-Risiken sind angemessene Risikosteuerungs- und -controllingprozesse einzurichten, die insbesondere die Feststellung des Schutzbedarfs, die Ableitung von Sicherheitsanforderungen sowie die Festlegung entsprechender Sicherheitsmaßnahmen umfassen.“ Aber nicht nur das Informationssicherheitsmanagement profitiert von deren sachgerechter Umsetzung.

Auch bei der Umsetzung von datenschutzrechtlichen Anforderungen bzgl. der technisch-organisatorischen Maßnahmen gem. der Anl. zum § 9 Bundesdatenschutzgesetz (BDSG) oder perspektivisch gem. dem Art. 32 der EU-Datenschutz- Grundverordnung (EU-DSGVO) bildet die Schutzbedarfsanalyse die wesentliche Grundlage zur Analyse und Bewertung des datenschutzrechtlichen Sicherheitsniveaus. Mit der Schutzbedarfsanalyse werden die Kernschutzziele der Informationssicherheit „Integrität“, „Vertraulichkeit“ und „Verfügbarkeit“ bezüglich des zugrundeliegenden Schutzbedarfs des jeweiligen Unternehmenswertes bewertet.

Die Schutzbedarfsanalyse bildet hierbei die Schnittstelle zwischen dem Fachbereich und der IT. Erst durch diese Verzahnung lassen sich angemessen die Anforderungen für die Unternehmensprozesse ermitteln. Die auf Basis der Schutzbedarfsanalyse definierte Schutzbedarfsfeststellung liefert die Grundlage für die Definition von Soll- Vorgaben für Sicherheitsmaßnahmen. Diese Sicherheitsmaßnahmen sind dabei nicht nur Ausgangspunkt für die interne Maßnahmenplanung und -umsetzung, sondern bilden ebenfalls die Vorgaben für die Anforderungen an die Informationssicherheit bei Dienstleistern.

Zusammenfassend kann somit festgestellt werden, dass die Durchführung einer Schutzbedarfsanalyse nicht nur die Schaffung eines unternehmenseinheitlichen Sicherheitsniveaus zur Folge hat, sondern auch bei der Auswahl geeigneter Sicherheitsmaßnahmen unterstützt. In der Folge können hierdurch die Risiken in Bezug auf die Unternehmenswerte und die (IT-)Objekte im Rahmen des Informationsrisikomanagements besser erfasst, bewertet und gesteuert werden. Mit der Schutzbedarfsanalyse wird damit eine essentielle Basis für ein ganzheitliches Informations- Sicherheits-Management-System geschaffen.

PRAXISTIPPS

  • Definieren Sie unternehmenseinheitlich die Bewertungsmaßstäbe für die Durchführung von Schutzbedarfsanalysen
  • Legen Sie die Aufgaben und Zuständigkeiten für die Schutzbedarfsanalyse eindeutig fest
  • Stellen Sie die Einbindung der Fachbereiche sowie deren Bewertung der Schutzziele sicher
  • Etablieren Sie eine zentrale Qualitätssicherung bzgl. der Ergebnisse der Schutzbedarfsfeststellungen

SEMINARTIPPS

BUCHTIPPS


Dr. Jaime Uribe Uribe / Henning Riediger / Mike Bona-Stecki

Bearbeitungs- und Prüfungsleitfaden: IT-Berechtigungsmanagement

Erscheinungstermin: 30.11.2016
Umfang: 233 Seiten
Preis: € 89,-
ISBN: 978-3-95725-033-9
Hier erhalten Sie weitere Infos zum Buch und die Möglichkeit zur Bestellung im Online-Shop

 


Lars Weimer

Bearbeitungs- und Prüfungsleitfaden: Datenschutz, IT-Sicherheit & Cyberrisiken 4. Auflage

Erscheinungstermin: 15.01.2017
Umfang: 466 Seiten
Preis: € 89,-
ISBN: 978-3-95725-032-2
Hier erhalten Sie weitere Infos zum Buch und die Möglichkeit zur Bestellung im Online-Shop

 

______________________________________________________________________________________

Dieser Beitrag ist erschienen im Newsletter Banken-Times KLASSIK, Ausgabe März 2017.
(Kostenlose) Bestellung möglich unter http://www.fc-heidelberg.de/bankentimes
_______________________________________________________________________________________

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Comment

Folgende HTML Tags und Attribute können verwendet werden: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>