key: cord-0036259-8hn2pw9r authors: Müller, Klaus-Rainer title: Sicherheitsregelkreis date: 2018-08-21 journal: IT-Sicherheit mit System DOI: 10.1007/978-3-658-22065-5_16 sha: ff819924df2e0015a055cc502ad0382f37aeb82c doc_id: 36259 cord_uid: 8hn2pw9r Alles fließ (παντα ρει [Heraklit]), d. h. alles verändert sich: Bedrohungen, Angriffsmöglichkeiten, Schutzbedarf, Prozesse, Ressourcen, Technologien, Organisation und last, but not least, das Personal. Dementsprechend unterliegen alle Elemente der Sicherheits- bzw. RiSiKo-Pyramide einer kontinuierlichen Anpassung, Veränderung und Weiterentwicklung. terschiedlicher Themenstellungen. Pyramidenbeispiele für Managementsysteme wurden im Anfangsbereich dieses Buches genannt. Alles sicher, oder nicht? (Dr.-Ing. Klaus-Rainer Müller, 11. Februar 2005) Die Prüfungen im RiSiKo-Management dienen dazu, festzustellen, ob das gewünschte RiSiKo-Niveau erreicht worden ist. Diese Prüfungen haben je nach ihrem Fokus und Umfang unterschiedliche Bezeichnungen wie z. B. Scans, Sicherheitsaudits, -checks, -studien, Gap-Analysen, Risikoanalysen oder auch Penetrationstests. Sowohl Prüfer als auch Geprüfte sollten diese Aussage beherzigen: Fehler zu finden ist leichter als keine zu machen! (Dr.-Ing. Klaus-Rainer Müller, 8. November 2006) Das prinzipielle Vorgehen bei Sicherheits-bzw. RiSiKo-Studien/-Analysen (Safety, Security, Continuity and Risk Analysis/Assessment) ist in der Abbildung dargestellt. Auf der Basis dieser Ergebnisse lassen sich eine Abweichungsanalyse durchführen und -wenn erforderlich -Korrekturmaßnahmen ergreifen. Welche übergreifenden Anforderungen sind an ein solches Berichtswesen zu stellen? -Zur Ermittlung der Anforderungen können folgende W-Fragen dienen: wer benötigt welche Informationen zu welchem Thema in welchem Detaillierungsgrad aus welcher Informationsquelle mit welcher Qualität und in welcher Form wann und wie oft von wem. Die Berichte sollten daher folgende qualitativen Eigenschaften besitzen: Der Sicherheitsregelkreis bzw. RiSiKo-Regelkreis unterstützt den Aufbau und die Anpassung des Sicherheits-, Kontinuitäts-und Risikomanagements an die kontinuierlichen Veränderungen innerhalb und außerhalb des Unternehmens. Sicherheitsprüfungen sind Elemente des Regelkreises und können in Form von Sicherheitsstudien bzw. Risikoanalysen sowie Penetrationstests und IKT-Security-Scans durchgeführt werden. Durch sie können in einer stichprobenartigen Momentaufnahme Sicherheitsdefizite aufgedeckt und weitergehende Schutzmaßnahmen empfohlen werden. Durch das Sicherheitscontrolling werden Ziele definiert und ihr Erreichungsgrad unterjährig verfolgt. Monatliche und ereignis-bzw. anlassbezogene Berichte (Adhoc-Berichte) dienen als nachvollziehbare Dokumentation der aktuellen Sicherheitssituation. Die Gliederungsstruktur der Monatsberichte kann sich an der Balanced Pyramid Scorecard ® orientieren und die finanzielle, die Kunden-, die Prozess-sowie die Lern-und Entwicklungsperspektive beinhalten. Vergleiche mit anderen Unternehmen. Betriebssicherheit (Safety) und/oder Sicherheit (Security) und/oder Kontinuität und/oder Datenschutz und/oder Compliance Sie geben einen Rahmen und Umfang für die Sicherheitsstudie vor Sicherheitsanforderungen der Nutzer bekannt?  Sind diese Sicherheits-und Kontinuitätsanforderungen ausreichend detailliert, z. B. im Hinblick auf Zugangs-und Zugriffsschutz  Wie erfolgte die Umsetzung der fachlichen Anforderungen in die IKT?  Wurden dabei die erforderlichen PROSim-Elemente Prozesse Redundanz ergriffen?  Entsprechen diese in ihrer Art und Vollständigkeit den Anforderungen?  Sind die Prozesse und Ressourcen, z. B. Server, Anwendungen, Daten, nach ihrem Schutzbedarf je festgelegtem Sicherheits-und Kontinuitätskriterium klassifiziert? -Wenn ja:  Welche Klassen gibt es?  Sind die Klassifizierungen konsistent?  Sind die Klassifizierungen nachvollziehbar?  Existieren die erforderlichen Datensicherungskonzepte?  Wie sehen die Datensicherungskonzepte aus? Krisen-und Katastrophenvorsorgehandbücher, die den Sicherheits-und Kontinuitätsanforderungen entsprechen?