4 Schutzbedarfsfeststellung
Schutzbedarf
Ob eine Maßnahme das Risiko für eine Organisation auf ein erträgliches Maß reduziert, kann nur im Zusammenhang des Schutzbedarfs der Daten und Anwendungen gesehen werden.
Ob eine Maßnahme das Risiko für eine Organisation auf ein erträgliches Maß reduziert, kann nur im Zusammenhang des Schutzbedarfs der Daten und Anwendungen gesehen werden.
Vorgehen
Um der Forderung zum Schutz von Informationen nachzukommen, sind Sicherheitsmaßnahmen umzusetzen. Standards für Datensicherheit helfen zu ermitteln, ob für eine IT-Anwendung einschließlich der verarbeiteten Daten ein bestimmter Schutzbedarf vorliegt oder nicht. Im Jahr 2005 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) den BSI-Standard 100-2 „IT-Grundschutz-Vorgehensweise” veröffentlicht. In diesem Standard wird das Vorgehen zur Erstellung einer Schutzbedarfsfeststellung genau beschrieben, die sich auch auf Mobile Devices anwenden lässt.
Um der Forderung zum Schutz von Informationen nachzukommen, sind Sicherheitsmaßnahmen umzusetzen. Standards für Datensicherheit helfen zu ermitteln, ob für eine IT-Anwendung einschließlich der verarbeiteten Daten ein bestimmter Schutzbedarf vorliegt oder nicht. Im Jahr 2005 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) den BSI-Standard 100-2 „IT-Grundschutz-Vorgehensweise” veröffentlicht. In diesem Standard wird das Vorgehen zur Erstellung einer Schutzbedarfsfeststellung genau beschrieben, die sich auch auf Mobile Devices anwenden lässt.
Die Ermittlung einer Gefährdung und die entgegenwirkenden Maßnahmen sind für die meisten Themen und Ressourcen der Informationsverarbeitung in den IT-Grundschutz-Katalogen des BSI zusammengefasst.
Als Voraussetzung für die Durchführung werden in jeder Organisation sogenannte Schutzbedarfskategorien beschrieben. Diese Schutzbedarfskategorien leiten her, wie viel Schutz eine einzelne Ressource benötigt, um später festzustellen, ob die Maßnahmen der IT-Grundschutzkataloge ausreichend sind oder darüber hinausgehend Maßnahmen ergriffen werden müssen.
Die Standard-Sicherheitsmaßnahmen der IT-Grundschutzkataloge sind in der Regel für typische Prozesse und Verfahren, Anwendungen, IT-Systeme, Netze und Räume mit normalem Schutzbedarf angemessen und ausreichend. Für ein Schutzniveau mit dem Schutzbedarf „hoch” oder „sehr hoch” müssen die IT-Grundschutzmaßnahmen jedoch mithilfe einer Risikoanalyse eventuell um spezielle Sicherheitsmaßnahmen ergänzt werden.
Häufig werden dabei zusätzlich aufwendige Maßnahmen notwendig, die in der Regel nur in den zentralen Rechenzentren personell und wirtschaftlich sowie technisch und organisatorisch umgesetzt werden können und auf der Seite des Benutzers teilweise erhebliche Zugangs- und Arbeitshürden aufbauen.
Mit der Tabelle 1 kann der festgestellte Schutzbedarf für typische Anwendungen von Mobile Devices erfasst werden. Für jede Zelle ist eine der drei Schutzbedarfskategorien „normal”, „hoch” oder „sehr hoch” anzugeben und zu begründen. Nach dem Maximalprinzip ist der höchste Schutzbedarf dann in der Zeile Gesamt einzutragen. Eine vorbereitete Tabelle, die Sie an Ihre Bedürfnisse anpassen und zur Erfassung nutzen können, haben wir dem Beitrag beigefügt.[
04M02_a.docx]
04M02_a.docx]Tabelle 1: Schutzbedarfsfeststellung für Mobile Devices
Daten/Prozesse | Vertraulichkeit | Integrität | Verfügbarkeit |
Daten: Kalender | |||
Daten: Mails | |||
Daten: Adressbücher | |||
Prozess:Externe Kommunikation | |||
Prozess:Interne Kommunikation | |||
Gesamt |
Die Tabelle 2 verdeutlicht am Beispiel Daten: Kalender, wie ein Eintrag aussehen kann.
Tabelle 2: Beispiel zur Schutzbedarfsfeststellung Daten: Kalender
Daten/Prozesse | Vertraulichkeit | Integrität | Verfügbarkeit |
Daten: Kalender | Normal
Die Daten im Kalender enthalten keine vertraulichen Daten. Der Personenbezug enthält keine besonders schützenswerten Daten nach BDSG § 9 Abs 3. | Normal
Sollten die Daten verändert werden, sind keine gravierenden finanziellen oder rechtlichen Auswirkungen zu befürchten. | Normal
Auch wenn die Verfügbarkeit dieser Daten auf dem Mobile Device unterbrochen ist, kann der Mitarbeiter auf anderen Arbeitsgeräten die zentral auf dem Messaging-System gehaltenen Daten einsehen. |