01.03.2022 – KRITIS-Organisationen verfügen in der Regel seit mehreren Jahren über ein funktionierendes Informationssicherheits-Managementsystems (ISMS), in vielen Fällen erweisen sich die gewählten Dokumentations-Tools nach Ansicht der Unternehmensberatung Allgeier GRC jedoch als ungeeignet für eine langfristige Fortschreibung des Informationssicherheitskonzepts. Nicht wenige KRITIS-Organisationen greifen zunächst zu einfachen Bordmitteln wie Kalkulationstabelle und Schreibprogramm oder zu Einzelplatzversionen von ISMS-Tools und übersehen dabei die mittel- und langfristigen Nachteile für die Erstellung und fortlaufende Pflege ihrer Dokumentationen, beispielsweise aufwändige Rücksprachen, Inkonsistenzen und Medienbrüche. Allgeier GRC will KRITIS-Betreiber mit dem ISMS-Tool DocSetMinder unterstützen, ein angemessenes Sicherheitsniveau für die verarbeiteten Daten und Informationen gewährleisten zu können.
Asset-Management
Für die fortlaufende Inventarisierung der Assets bietet das ISMS-Tool DocSetMinder die Module „Organisation“, „IT-Dokumentation“ und „Steuerungs- und Leitsysteme“ mit vordefinierten Verzeichnisstrukturen und Dokumentvorlagen. Die logischen Zusammenhänge zwischen den Prozessen, Software und Serversystemen sowie den Speicherorten für die verarbeiteten Daten lassen sich mittels Verknüpfungen darstellen. DocSetMinder bietet außerdem einen integrierten Editor für Organigramme, Prozesslandkarten und Netzpläne. Organisationen, die ihre Assets bereits mit anderen Tools verwalten, können die für die Umsetzung ihres Informationssicherheits-Managementsystems erforderlichen Informationen automatisiert in die MS SQL-Datenbank von DocSetMinder importieren. Zur Vermeidung von Redundanzen sind auch Verlinkungen auf webbasierte Systeme möglich.
Modularer Aufbau der Compliance Management-Software DocSetMinder. Bild: Allgeier GRC GmbH
Business-Impact-Analyse und Risikoanalyse
Da die Relevanz für die Erbringung der kritischen Dienstleistungen je nach Organisationseinheit und Prozess variiert, hilft eine Business Impact Analyse (BIA) einen Vergleich der Prozesse und Ressourcen anhand des bei ihrem Ausfall drohenden Schadens herzustellen und damit diese methodisch für die Absicherung zu priorisieren.
Die anschließende Risikoanalyse liefert Auskunft über die möglichen Ursachen des Ausfalls und die Behandlungsmethode (Reduktion/Mitigation, Vermeidung, Verlagerung, Akzeptanz) in Abhängigkeit davon, wie stark das spezifische Risiko ausgeprägt ist. Für die Identifikation, Analyse, Bewertung und Behandlung von Risiken bietet das ISMS-Tool DocSetMinder ein Risikomanagement gemäß der Norm ISO 31000 und daraus abgeleitete Risikoanalysemethoden nach ISO 27005 und BSI-Standard 200-3. Für die Risikoidentifikation können Verantwortliche auf mehrere direkt im Tool hinterlegte Kataloge mit Bedrohungen, Schwachstellen und Gefährdungen zurückgreifen (BSI-Kompendium, Annex C und D der ISO 27005, B3S etc.). Die Risikoanalyse unterstützt die qualitative Bewertung der Risiken im Hinblick auf die Auswirkung und Eintrittswahrscheinlichkeit in einer 4×4-Matrix. Sowohl die Dimensionierung der Matrix als auch die Schadenskategorien lassen sich organisationsspezifisch bestimmen.
Reporting
Für die Auswertung des Informationssicherheitszustands in der Organisation bietet DocSetMinder den Verantwortlichen vorgefertigte und bei Bedarf adaptierbare Standardberichte (z. B. BSI A0-A6). Außerdem verfügt das ISMS-Tool über einen integrierten Editor, mit dem herstellerunabhängig neue Berichte konfiguriert werden können. (ds)