Durch den Abgleich können Sie Lücken in Ihrem Sicherheitskonzept identifizieren und schließen, indem Sie sicherstellen, dass eingesetzte Dienstleistungen die Sicherheitsanforderungen Ihrer Assets erfüllen.
Inhalt
Hintergrund
Der Abgleich von Schutzbedarf und Schutzniveau ist ein zentraler Bestandteil eines effektiven Compliance-Managements. Er dient dazu, sicherzustellen, dass die Sicherheitsmaßnahmen, die Sie für Ihre Daten und Systeme implementiert haben, ausreichend sind, um die Risiken zu minimieren.
Hierzu betrachtet man die Assets einer Organisation. Assets sind Unternehmenswerte, Wirtschaftsgüter oder Ressourcen einer Organisation. Dazu gehören sowohl materielle Güter wie Hardware und Gebäude als auch immaterielle Werte wie Daten, Systeme, geistiges Eigentum und das Know-how von Mitarbeitern. Der Schutz dieser Assets ist entscheidend für den Geschäftsbetrieb. Für die Bewertung von Assets ist der Schutzbedarf essentiell.
- Schutzbedarf: Dies sind die spezifischen Anforderungen an die Sicherheit Ihrer Daten und Systeme. Sie werden anhand der Eigenschaften von Vertraulichkeit (C), Integrität (I) und Verfügbarkeit (A) (CIA-Prinzip) bestimmt. Der Schutzbedarf wird für Assets bewertet.
Den Assets gegenüber stehen die eingesetzten Dienstleistungen einer Organisation. Dienstleistungen sind immaterielle Leistungen, die eine Organisation für seine Kunden oder internen Nutzer einsetzt. Im Kontext der IT und Sicherheit umfassen sie beispielsweise Cloud-Services, Wartung, Support, Beratungsleistungen oder auch die Bereitstellung von IT-Infrastruktur. Für die Bewertung von Dienstleistungen ist das Schutzniveau zu betrachten.
- Schutzniveau: Dies ist das definierte Maß an Sicherheit, das Ihre eingesetzten Dienstleistungen & IT-Services bieten.
Verständnisbeispiel
Asset: am Beispiel Content-Management-System (CMS)
Ein Asset (z.B. eine Datei, ein System) hat bestimmte Sicherheitsanforderungen, die jeweils mit einem Buchstaben (CIA) abgekürzt werden:
- Vertraulichkeit - Confidentiality: C
- Integrität - Integrity: (I)
- Verfügbarkeit - Availability: (A)
Diese Sicherheitsanforderungen werden mit Zahlen bewertet (z. B. 2 auf einer Skala von 1 bis 3). In unserem Beispiel wird der Schutzbedarf des Assets "Content-Management-System (CMS)" wie folgt bewertet: C2 I3 A2
Dienstleistung oder IT-Service: am Beispiel Online-Shop
Die Dienstleistung oder der IT-Service liefert das Gegenstück, nämlich eine Erfüllung des Schutzbedarfs als sogenannte "Schutzniveau". Die Dienstleistung soll den Schutzbedarf des Assets erfüllen. Hier wird ein Schutzniveau definiert (bspw. C1, I3, A2). Dieses Schutzniveau gibt an, wie gut die Dienstleistung die jeweiligen Sicherheitsanforderungen erfüllt.
In diesem Beispiel wird das Schutzniveau des Online-Shops wie folgt definiert: C1 I3 A2
Abgleich und Ergebnisinterpretation
Aus dem Abgleich des Schutzbedarfs des Assets "Content-Management-System (CMS)" mit dem Ergebnis "C2 I3 A2" und dem definierten Schutzniveau des Online-Shops mit dem Ergebnis "C1 I3 A2" resultiert, dass das Schutzniveau des IT-Services nicht zu dem Schutzbedarf des Assets passt.
Demnach könnte man das Asset "Content-Management-System (CMS)" nicht verwenden oder man müsste die Abweichung begründen (z. B. weil der Schutzbedarf durch Maßnahmen geringer wird)
Umsetzung in Robin Data ComplianceOS®
Definition Kürzel des Bewertungsfaktors
Um den Abgleich von Schutzbedarf und Schutzniveau in Robin Data ComplianceOS® durchzuführen, erstellen Sie separate Bewertungsformulare für Assets und Dienstleistungen. Nutzen Sie dabei identische Kürzel (bspw. "CIA") für die Bewertungsfaktoren in beiden Formularen. Dies gewährleistet die Vergleichbarkeit der Bewertungen und ermöglicht einen effektiven Abgleich. Sie können für beide Formulare auf dieselben Bewertungsgruppen und -faktoren zurückgreifen. Erfahren Sie hier mehr über die Erstellung von Bewertungsformularen.
Abgleich über den Matcher
Verwenden Sie den Matcher, um den Schutzbedarf Ihrer Assets mit dem Schutzniveau Ihrer Dienstleistungen zu vergleichen. Darüber hinaus ermöglicht der Matcher den direkten Vergleich des Schutzbedarfs verschiedener Assets untereinander. Das Ergebnis des Abgleichs wird automatisch angezeigt, sobald Sie eine Verknüpfung im Matcher erstellen. Erfahren Sie hier mehr über die Verwendung des Matchers
Weitere Frage? - Wir sind für Sie da.
Bei Fragen zur Software können Sie sich gern an unseren Support wenden. Sie erreichen uns unter support@robin-data.io.