Grundlage „IT Security-Check“
Der „IT Security-Check“ ist ein IT- Security-Audit der Data-Sec GmbH, dass Schwachstellen einer Organisation identifiziert und bestehende Risiken aufzeigt. Grundlage dabei die ISO/IEC 27002, aus der die wichtigsten Controls zusammengeführt sind. Ziel ist es, einen Maßnahmenplan zu erstellen, anhand dessen gezielt die Sicherheit der IT-Infrastruktur optimiert werden kann. Das Audit basiert grundsätzlich auf den Aussagen von Interviewpartnern. Sie sind Verantwortliche einer IT-Infrastruktur und können darüber Auskunft geben. In dem Interview werden die bereits umgesetzten technischen und organisatorischen Maßnahmen erfasst.
Eine Überprüfung von technischen Maßnahmen kann über einen Penetrationstest erfolgen.
Das IT-Security-Audit versteht sich als IST/SOLL-Vergleich und orientiert sich an der ISO/IEC 27002 und des Vorschlages des Verbandes der deutschen Automobilindustrie (VDA). Es eignet sich optimal dazu, möglichst effizient den Reifegrad einer Organisation in Bezug auf die IT-Sicherheit zu bestimmen. Es entspricht den Empfehlungen der Data-Sec GmbH.
Aufbau
Der „IT Security-Check“ spiegelt die Data-Sec Best Practices für den normalen Schutzbedarf wider. Der „IT Security-Check“ umfasst zwölf Kapitel, die alle sicherheitsrelevanten Aspekten der IT-Sicherheit beleuchtet.
Für jedes Kapitel gibt es eine Scorecard. Die Scorecards stellen den Output des „IT Security-Checks“ dar. Jede einzelne Scorecard bildet eine Übersicht ab, mit Bemerkungen des Ist-Zustandes der Control, den Risikowert der Control mit Subcontrol und passend zu den Controls empfohlene Maßnahmen. Das Kapitel beziehungsweise die Scorecard selbst wird über ein „Notensystem“ bewertet (A-F), wobei A die beste Note und F die schlechteste Note darstellt.
Aus dem „IT Security-Check“ erhalten Organisationen einen Plan zur kontinuierlichen Verbesserung der IT-Sicherheit. Zudem werden die größten Risiken passend zur Organisation bewertet, aufgezeigt und in einem individuellen Sicherheitskonzept mit konkreten Lösungen zusammengestellt.
IT Security-Check
Ablauf
Interview
Assessment wurde mit einem Frage-Antwort Workshop durchgeführt.
ISO 27001
Fragen sind in Kapitel und Controls unterteilt und sind die wichtigsten Punkte aus der ISO 27001.
Maßnahmen
Lösungen sind pragmatisch und die Best-Practices der Data-Sec.
Reifegrad
Der Erfüllungsgrad der Controls wird über den Reifegrad bewertet. Der Reifegrad kann Zahlen von 0-2 annehmen, wobei 0 keine Erfüllung der Control und 2 die volle Erfüllung der Control bedeutet.
Risiko
Risikoindex wird ermittelt, der sich aus Umsetzungsgrad und allgemeinem Risikopotential (Wahrscheinlichkeit und Auswirkung) der Control errechnet (Skala von 0-100, 0=kein Risiko, 100=höchstes Risiko)
Strukturanalyse
Prozesse – Applikationen – Infrastruktur – Netzwerk
In der Strukturanalyse wird über das Unternehmen und die IT-Infrastruktur gesprochen. Welche Prozesse gibt es, welche Anwendungen werden für welche Prozesse verwendet und welche Daten fallen an?
Des Weiteren wird grob die Infrastruktur, in der die Anwendungen betrieben werden und wie darauf zugegriffen werden kann, aufgenommen.