Der Zweck der Grundsätze für ganzheitliche Informationssicherheit besteht darin, strategische Leitlinien zu definieren, wie eine Organisation ihre Prozesse, Systeme und Daten vor Bedrohungen schützen kann. Diese Grundsätze sind in vier Pfeiler unterteilt: organisieren, schützen, erkennen und reagieren. Eine Organisation sollte in der Lage sein, nachzuweisen, dass diese Grundsätze innerhalb der Organisation eingehalten werden.

 

• Organisieren: Die Risiken in Bezug auf die Informationssicherheit müssen identifiziert und verwaltet werden.
• Schützen: Zu Verringerung von Sicherheitsrisiken müssen Kontrollen implementiert werden.
• Erkennen: Die Sicherheitsereignisse müssen erkannt und verstanden werden, um Vorfälle in der Informationssicherheit zu identifizieren.
• Reagieren: Auf Vorfälle in der Informationssicherheit muss reagiert und wiederhergestellt werden.

 

Zu den Prinzipien des Grundsatzes Organisieren zählen insbesondere die folgenden:

• Eine organisatorische Einheit übernimmt die Führung und Aufsicht über alle Themen zur Informationssicherheit. Das kann ein Informationssicherheitsbeauftragter (Chief Information Security Officer, CISO) mit Team sein.
• Die Identität und der Wert von Prozessen, Systemen und Informationen werden bestimmt und dokumentiert.
• Die Anforderungen an Verfügbarkeit, Vertraulichkeit und Integrität von Prozessen, Systemen und Informationen werden bestimmt und dokumentiert.
• Die Prozesse des Sicherheitsrisikomanagements sind in dem organisatorischen Rahmen des Risikomanagements eingebettet.
• Risiken in Bezug auf die ganzheitliche Informationssicherheit werden ermittelt, dokumentiert, verwaltet und akzeptiert, bevor Prozesse, Systeme und Anwendungen zur Nutzung freigegeben werden, sowie während ihrer gesamten Lebensdauer.

 

Zu den Prinzipien des Grundsatzes Schützen zählen insbesondere die folgenden:

• Prozesse, Systeme und Anwendungen werden entsprechend ihrem Wert und ihren Anforderungen an Verfügbarkeit, Integrität und Vertraulichkeit konzipiert, eingesetzt, gewartet und außer Betrieb genommen.
• Systeme und Anwendungen werden von vertrauenswürdigen Anbietern bereitgestellt und unterstützt.
• Systeme und Anwendungen sind so konzipiert und konfiguriert, dass ihre Angriffsfläche reduziert wird.
• Die Systeme und Anwendungen werden sicher und verantwortungsbewusst verwaltet.
• Schwachstellen in Systemen und Anwendungen werden rechtzeitig erkannt und entschärft.
• Nur vertrauenswürdige und unterstützte Betriebssysteme, Anwendungen und Computercode können auf
  Systemen ausgeführt werden.
• Die Daten werden im Ruhezustand und bei der Übertragung zwischen verschiedenen Systemen verschlüsselt.
• Die zwischen verschiedenen Systemen übermittelten Daten werden kontrolliert und können überprüft werden.
• Daten, Anwendungen und Einstellungen werden regelmäßig auf sichere und bewährte Weise gesichert.
• Nur vertrauenswürdige und überprüfte Personen erhalten Zugang zu Systemen, Anwendungen und
  Datenbeständen.
• Den Mitarbeitern wird der für ihre Aufgaben erforderliche Mindestzugang zu Systemen, Anwendungen und
  Datenbeständen gewährt.
• Es werden mehrere Methoden zur Identifizierung und Authentifizierung von Mitarbeitern gegenüber Systemen, Anwendungen und Datenbeständen verwendet.
• Das Personal wird laufend in Sachen Informationssicherheit geschult.
• Der physische Zugang zu Systemen, unterstützender Infrastruktur und Einrichtungen ist auf befugtes Personal
  beschränkt.

 

Zu den Prinzipien des Grundsatzes Erkennen zählen insbesondere die folgenden:

• Ereignisprotokolle werden gesammelt und zeitnah analysiert, um Informationssicherheitsvorfälle zu erkennen.
• Sicherheitsereignisse werden rechtzeitig analysiert, um Informationssicherheitsvorfälle zu erkennen.

 

Zu den Prinzipien des Grundsatzes Reagieren zählen insbesondere die folgenden:

• Informationssicherheitsvorfälle werden sowohl intern als auch extern zeitnah an die zuständigen Stellen gemeldet.
• Informationssicherheitsvorfälle werden rechtzeitig eingedämmt, beseitigt und wiederhergestellt.
• Pläne zur Aufrechterhaltung des Geschäftsbetriebs und zur Wiederherstellung im Katastrophenfall werden bei Bedarf in Kraft gesetzt.

 

Modellierung eines Reifegrads

Bei der Umsetzung der Grundsätze für ganzheitliche Informationssicherheit kann eine Organisation das folgende Reifegradmodell verwenden,
um die Umsetzung einzelner Grundsätze, Gruppen von Grundsätzen oder die Cybersicherheitsgrundsätze als Ganzes zu
bewerten. Die fünf Stufen des Reifegradmodells sind:

0 = Die Grundsätze der Cybersicherheit sind teilweise oder gar nicht umgesetzt.
1 = Die Grundsätze der Cybersicherheit werden zwar umgesetzt, aber nur unzureichend oder ad hoc.
2 = Die Grundsätze der Cybersicherheit werden in ausreichendem Maße umgesetzt, allerdings auf Projektbasis.
3 = Die Grundsätze der Cybersicherheit sind als Standardgeschäftspraktiken etabliert und werden in der gesamten Organisation konsequent umgesetzt.
4 = Bei der Umsetzung der Cybersicherheitsgrundsätze in der gesamten Organisation wird bewusst auf
Optimierung und kontinuierliche Verbesserung geachtet.