Abgleich von Schutzbedarf und Schutzniveau im Robin Data ComplianceOS®

Durch den Abgleich können Sie Lücken in Ihrem Sicherheitskonzept identifizieren und schließen, indem Sie sicherstellen, dass eingesetzte Dienstleistungen die Sicherheitsanforderungen Ihrer Assets erfüllen.

Hintergrund

Der Abgleich von Schutzbedarf und Schutzniveau ist ein zentraler Bestandteil eines effektiven Compliance-Managements. Er dient dazu, sicherzustellen, dass die Sicherheitsmaßnahmen, die Sie für Ihre Daten und Systeme implementiert haben, ausreichend sind, um die Risiken zu minimieren.

Hierzu betrachtet man die Assets einer Organisation. Assets sind Unternehmenswerte, Wirtschaftsgüter oder Ressourcen einer Organisation. Dazu gehören sowohl materielle Güter wie Hardware und Gebäude als auch immaterielle Werte wie Daten, Systeme, geistiges Eigentum und das Know-how von Mitarbeitern. Der Schutz dieser Assets ist entscheidend für den Geschäftsbetrieb. Für die Bewertung von Assets ist der Schutzbedarf essentiell.

• Schutzbedarf: Dies sind die spezifischen Anforderungen an die Sicherheit Ihrer Daten und Systeme. Sie werden anhand der Eigenschaften von Vertraulichkeit (C), Integrität (I) und Verfügbarkeit (A) (CIA-Prinzip) bestimmt. Der Schutzbedarf wird für Assets bewertet. 

Den Assets gegenüber stehen die eingesetzten Dienstleistungen einer Organisation. Dienstleistungen sind immaterielle Leistungen, die eine Organisation für seine Kunden oder internen Nutzer einsetzt. Im Kontext der IT und Sicherheit umfassen sie beispielsweise Cloud-Services, Wartung, Support, Beratungsleistungen oder auch die Bereitstellung von IT-Infrastruktur. Für die Bewertung von Dienstleistungen ist das Schutzniveau zu betrachten.

• Schutzniveau: Dies ist das definierte Maß an Sicherheit, das Ihre eingesetzten Dienstleistungen & IT-Services bieten.

Verständnisbeispiel

Asset: am Beispiel Content-Management-System (CMS)

Ein Asset (z.B. eine Datei, ein System) hat bestimmte Sicherheitsanforderungen, die jeweils mit einem Buchstaben (CIA) abgekürzt werden:

•  Vertraulichkeit - Confidentiality: C  
• Integrität - Integrity: (I)
• Verfügbarkeit - Availability: (A)

Diese Sicherheitsanforderungen werden mit Zahlen bewertet (z. B. 2 auf einer Skala von 1 bis 3). In unserem Beispiel wird der Schutzbedarf des Assets "Content-Management-System (CMS)" wie folgt bewertet: C2 I3 A2

Dienstleistung oder IT-Service: am Beispiel Online-Shop

Die Dienstleistung oder der IT-Service  liefert das Gegenstück, nämlich eine Erfüllung des Schutzbedarfs als sogenannte "Schutzniveau". Die Dienstleistung soll den Schutzbedarf des Assets erfüllen. Hier wird ein Schutzniveau definiert (bspw. C1, I3, A2). Dieses Schutzniveau gibt an, wie gut die Dienstleistung die jeweiligen Sicherheitsanforderungen erfüllt.

In diesem Beispiel wird das Schutzniveau des Online-Shops wie folgt definiert: C1 I3 A2

Abgleich und Ergebnisinterpretation 

Aus dem Abgleich des Schutzbedarfs des Assets "Content-Management-System (CMS)" mit dem Ergebnis "C2 I3 A2" und dem definierten Schutzniveau des Online-Shops mit dem Ergebnis "C1 I3 A2" resultiert, dass das Schutzniveau des IT-Services nicht zu dem Schutzbedarf des Assets passt.

Demnach könnte man das Asset "Content-Management-System (CMS)" nicht verwenden oder man müsste die Abweichung begründen (z. B. weil der Schutzbedarf durch Maßnahmen geringer wird)

Umsetzung in Robin Data ComplianceOS®

Definition Kürzel des Bewertungsfaktors 

Um den Abgleich von Schutzbedarf und Schutzniveau in Robin Data ComplianceOS® durchzuführen, erstellen Sie separate Bewertungsformulare für Assets und Dienstleistungen. Nutzen Sie dabei identische Kürzel (bspw. "CIA") für die Bewertungsfaktoren in beiden Formularen. Dies gewährleistet die Vergleichbarkeit der Bewertungen und ermöglicht einen effektiven Abgleich. Sie können für beide Formulare auf dieselben Bewertungsgruppen und -faktoren zurückgreifen. Erfahren Sie hier mehr über die Erstellung von Bewertungsformularen.

Matching-Route anlegen

1. Klicken Sie im Hauptmenü auf Organisationsstammdaten: Es öffnet sich ein Dropdown-Menü.

2. Fahren Sie mit dem Mauszeiger über den Menü-Punkt Management-System: Es öffnet sich ein weiteres Dropdown-Menü.
   

3. Klicken Sie im zweiten Dropdown-Menü auf Inhaltsgruppen: Es öffnet sich ein neues Fenster.

4. Klicken Sie auf das blaue Plus im Bereich "Kategorie": Es öffnet sich eine Eingabemaske.

5. Legen Sie im Bereich "Kategorie" eine Inhaltsgruppe mit der Bezeichnung Matching-Route und dem Typ Matching-Attribute an.
6. Erstellen Sie eine Unterkategorie der Inhaltsgruppe Typ "Matching-Attribute": Es öffnet sich eine Eingabemaske.
   
   
7. Vergeben Sie eine Bezeichung (bspw. "Assets <> Dienstleistungen") und wählen Sie in den Dropdown-Menüse "From" und "To" die gewünschte Daten-Verknüpfungen zwischen Assets und Dienstleistungen aus. Die Reihenfolge spielt dabei keine Rolle, da die Matching stets bidirektional sind.
   • From: Wählen Sie aus, von welchem Bereich das Matching stattfinden soll, an welches die Attribute angefügt werden sollen.
   • To: Wählen Sie aus, zu welchem Bereich das Matching stattfinden soll, an welches die Attribute angefügt werden sollen.
8. Klicken Sie auf Speichern: Die Unterkategorie ist gespeichert und erscheint im Bereich "Unterkategorie".

Abgleich über den Matcher

Verwenden Sie den Matcher, um den Schutzbedarf Ihrer Assets mit dem Schutzniveau Ihrer Dienstleistungen zu vergleichen. Darüber hinaus ermöglicht der Matcher den direkten Vergleich des Schutzbedarfs verschiedener Assets untereinander. Das Ergebnis des Abgleichs wird automatisch angezeigt, sobald Sie eine Verknüpfung im Matcher erstellen. Erfahren Sie hier mehr über die Verwendung des Matchers