DocSetMinder® und Kritische Infrastrukturen

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die Medien bestätigen täglich zahlreiche, technisch sehr gut durchdachte und gezielte Hackerangriffe auf die Wirtschaft und Privatsphäre der Bürger. Als besonders gefährdet gelten die Kritischen Infrastrukturen. Kritische Infrastrukturen oder KRITIS werden als „Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden“ verstanden [Quelle: BMI]. Durch eine Reihe von Maßnahmen will die Bundesregierung gezielt die digitale Wirtschaft fördern und die Cybersicherheit erhöhen. Im Dezember 2014 beschloss die Bundesregierung den wesentlich überarbeiteten Entwurf des IT-Sicherheitsgesetzes. Es ist ein Baustein der „Digitalen Agenda 2014-2017“ (Grundsätze der Digitalpolitik der Bundesrepublik). Das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) ist am 25.07.2015 in Kraft getreten.  Ziel des Gesetzes ist eine signifikante Verbesserung der IT-Sicherheit in Unternehmen und Behörden in Deutschland durch die Einhaltung eines Mindestniveaus an IT-Sicherheit. Betroffen von dem Gesetz sind die Betreiber der Kritischen Infrastrukturen. 

Umsetzung der Sicherheitsstandards mit DocSetMinder®

Sicherheitsstandards und Datenschutzgesetze

Bei der Vielzahl der gesetzlichen Auflagen und Normanforderungen ist es empfehlenswert, einen organisationsweiten ganzheitlichen Planungs- und Dokumentationsansatz in Form eines Integrierten Managementsystems (IMS) zu etablieren. Wie eine effiziente und effektive Umsetzung der technischen und organisatorischen Maßnahmen funktioniert, kann aus der ISO-Welt abgeleitet werden. Anstatt jede Norm, jeden Standard oder gesetzliche Anforderung einzeln zu planen und wohl möglich mit unterschiedlichen Tools zu realisieren, ist eine globale Betrachtung von enormem Vorteil. Die Gemeinsamkeiten bei der Planung, Umsetzung und Aufrechterhaltung der Sicherheitsstandards sind vor allem in folgenden Bereichen deutlich: Projektmanagement, Strukturanalyse, Risikoanalyse, Überwachung und Audits. Um die Mindestanforderungen der Sicherheitsstandards und Datenschutzgesetze (EU, Bund und Länder) effizient und vollständig umzusetzen und aktuell zu halten, stehen den Kritischen Infrastrukturen diverse DocSetMinder®-Module und Maßnahmenkataloge zur Verfügung. In Verbindung mit dem Microsoft® SQL Server als zentrale Repository ist der DocSetMinder® beliebig skalierbar und eignet sich für Unternehmen und Behörden jeder Größe. Durch den modularen Aufbau kann ein bereits umgesetzter Standard um zusätzliche Normen jederzeit zu einem Integrierten Managementsystem erweitert werden.

Modul "Organisation"

Die genaue Kenntnis der Unternehmens- und Behördenorganisation ist eine elementare Voraussetzung für die Durchführung der Strukturanalyse. Das Modul stellt Ihnen die notwendigen Strukturen und Vorlagen für die Dokumentation der Aufbau- und Ablauforganisation in gewünschter Tiefe zur Verfügung. Erfasst werden sämtliche Organisationseinheiten, wie z.B. Bereiche, Abteilungen, Gruppen sowie Geschäftsprozesse mit den Verantwortlichkeiten (Rollen) in der Organisation. Darüber hinaus werden in diesem Modul auch unternehmensrelevante Dokumente wie Verträge, Leitlinien, Richtlinien, Berichte, Eintragungen und Urkunden aufbewahrt oder erstellt. Die hier erfassten Informationen werden in allen Modulen verwendet. Somit werden Redundanzen verhindert und Aktualisierungen vereinfacht.

Modul "IT-Dokumentation"

Ein weiterer Baustein der Strukturanalyse ist die Dokumentation des IT-Verbundes. Das Modul „IT-Dokumentation“ erlaubt eine systematische Dokumentation der IT-Infrastruktur der passiven und aktiven Netzwerkkomponenten, Server-Systeme, Arbeitsplätze, Peripheriegeräte, Dienste und Anwendungen sowie Gebäude, Gebäudesicherheit und Räume. Durch den Einsatz von DocSetMinder®-Schnittstellen können wesentliche Informationen regelmäßig aus Microsoft® Active Directory und Inventory-Systemen importiert werden. Die Dokumentation stellt die logischen Zusammenhänge zwischen Geschäftsprozessen, dafür verantwortlicher Software und Serversystemen sowie Speicherorte für die entstehenden Daten dar. Jede IT-Komponente kann dem fachlich und technisch zuständigen Mitarbeiter zugeordnet werden. Die hier erfassten Informationen werden in allen Modulen verwendet. Somit werden Redundanzen verhindert und Aktualisierungen vereinfacht.

Modul „Steuerungs- und Telekommunikationssysteme“ BDEW

Das DocSetMinder®-Modul ist exklusiv für die Umsetzung des IT-Sicherheitskataloges gemäß § 11 Absatz 1a Energiewirtschaftsgesetz bei Energieversorgern konzipiert worden und dient der Erfassung von Leitsystemen, Übertragungstechnik, Kommunikationstechnik sowie Steuerungs- und Automatisierungstechnik. Die hier erfassten Informationen sind notwendig für die Umsetzung und Zertifizierung gemäß der DIN ISO/IEC TR 27019

Modul "IT-Grundschutz"

Das DocSetMinder®-Modul "IT-Grundschutz" bildet den BSI-Standard 100-2 vollständig ab. Die BSI-Methodik der Sicherheitskonzeption ist in die Modulstruktur detailliert integriert und unterstützt eine intuitive Bedienung, Umsetzung und Dokumentation des IT-Grundschutzes. Die Schutzbedarfsdefinition, Schutzbedarfsfeststellung und ihre Vererbung durch das Maximumprinzip sowie die Modellierung des IT-Verbundes ist durch die Softwareunterstützung einfach und schnell umsetzbar. Für die Überwachung der Umsetzung  der festgelegten Maßnahmen kann sehr effektiv der Aufgaben- und Maßnahmenplaner sowie Reporting Services verwendet werden. GRC Partner bietet das DocSetMinder®-Modul „IT-Grundschutz“ für unmittelbare Bundes-, Landes- und Kommunalverwaltungen der Bundesrepublik Deutschland kostenlos an. 

Modul "ISMS - ISO/IEC 27001"

Die Norm ISO/IEC 27001 ist für die Planung, Umsetzung, Überwachung und stetige Verbesserung des Managementsystems für Informationssicherheit (ISMS) konzipiert. Das DocSetMinder®-Modul bildet die Anforderungen der Norm ISO/IEC 27001 vollständig und detailliert ab. Die Modulstruktur (High Level Structure) erlaubt die Definition und Dokumentation des Anwendungsbereichs, der Verantwortlichkeiten, der ISMS-Leitlinie, eine Analyse und Bewertung der Risiken sowie die Definition der Maßnahmenziele und Maßnahmen zur Behebung der festgestellten Risiken. Für die Umsetzung des IT-Sicherheitskataloges steht den Energieversorger eine Erweiterung "ISO/IEC 27019" zur Verfügung.

Modul "IT-Notfallmanagement"

Das DocSetMinder®-Modul basiert auf dem BSI-Standard 100-4, ISO 22301 und BCI-GPG 2013 und bildet die Methodik zur Etablierung eines adäquaten Notfallmanagementsystems im Unternehmen oder einer Behörde ab. Es erlaubt eine vollständige Erstellung und Pflege von Dokumentationen des Anwendungsbereichs, der Notfallorganisation, der Business Impact Analyse, der Risikoanalyse sowie der Alarmierung und Eskalation bis hin zu Geschäftsfortführungs- und Wiederanlaufplänen (Notfallhandbücher). Die Planung und Durchführung von Notfallübungen und der Verbesserungsprozess der Notfallorganisation (PDCA) werden ebenfalls strukturiert unterstützt. 

Modul "Datenschutz"

Das DocSetMinder®-Modul unterstützt den betrieblichen Datenschutzbeauftragten bei der Umsetzung, Kontrolle und Dokumentation der Datenschutzbestimmungen des Bundes und der Länder (BDSG und LDSG) im Unternehmen und der Behörde. Die Modulstruktur grenzt das öffentliche Verfahrensverzeichnis von der Verfahrensakte ab, in der die einzelnen internen Verfahrensübersichten dokumentiert sind. Die strengen Anforderungen an die Dokumentation der Verfahren, ihre Zweckbestimmung, betroffenen Personengruppen, Datenkategorien und Fristen können revisionssicher erfasst werden. Für die Dokumentation der technischen und organisatorischen Sicherheitsmaßnahmen steht eine detaillierte Vorlage zur Verfügung. 

Risikoanalyse

Für die Durchführung der Risikoanalyse stehen den Anwendern zur Zeit zwei unterschiedliche Methoden zur Verfügung: BSI-Standard 100-3 und DIN ISO/IEC 27005. Die Norm DIN ISO/IEC 27005 ist aus der DIN ISO 31000 abgeleitet und unterstützt in einfacher Form die Berechnung der Risiken unter Berücksichtigung von Eintrittswahrscheinlichkeit und Auswirkung. Optional können weitere Faktoren, wie z.B. Häufigkeit (Exposition) oder Business Impact berücksichtigt werden.

Maßnahmenkataloge

Für die Umsetzung der Sicherheitsmaßnahmen gemäß BSI IT-Grundschutz, DIN ISO/IEC 27001 oder des IT-Sicherheitskataloges gemäß EnWG stehen dem Anwender wahlweise die IT-Grundschutz-Kataloge, der Katalog der Maßnahmenziele und Maßnahmen der Normen ISO/IEC 27001/2, ISO/IEC 27019 zur Verfügung. Die Kataloge können individuell erweitert werden. Die BSI- oder ISO-Updates/ Ergänzungen der Bausteine oder Maßnahmen werden mit der bestehenden Dokumentation synchronisiert.   

Wir unterstützen Sie

Für eine effiziente Umsetzung des IT-Sicherheitskataloges bieten wir Ihnen eine Reihe von Dienstleistungen an:

  • Planung und systemetische Umsetzung der Sicherheitsanforderungen
  • GAP Analyse 
  • Vollständige Erstellung des IT-Sicherheitskonzeptes (auch mit Partner-Unternehmen)
  • Begleitendes Coaching durch erfahrene Berater
  • Einführung von DocSetMinder® (Tool für Planung, Dokumentation und Audit) 
  • Technische und inhaltliche Unterstützung Ihrer Implementierungspartner

Eine Reihe von KRITIS Organisationen setzten auf unsere Erfahrung und Softwarelösung DocSetMinder®, u.a.

  • Energieversorger
  • Wasserversorger
  • Hafengesellschaften
  • Bundesbehörden
  • Fluggesellschaften
  • Gesundheitswesen