TOM INFORMATIONSSICHERHEIT

6.3 Schutzziele der Informationssicherheit

Nicht offizieller Teil von ISO 27002 - Wird benötigt für die Erfüllung von Anforderungen aus Dora

1. Einführung

Die automIT AG verpflichtet sich, die Schutzziele der Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit gemäß den angemessenen Standards der Informationssicherheit zu wahren. Diese Richtlinie basiert auf den Standards der ISO/IEC 27001 und berücksichtigt die Eintrittswahrscheinlichkeit und Schwere von Risiken, sowie den Stand der Technik und angemessene Standards wie den IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und den internationalen Sicherheitsstandard ISO/IEC 2700X.

2. Schutzziele der Informationssicherheit

2.1 Verfügbarkeit

  • Definition: Sicherstellung, dass Informationen und Systeme für autorisierte Benutzer bei Bedarf zugänglich und nutzbar sind.
  • Maßnahmen:
    • Redundante Systeme: Implementierung redundanter Systeme und Datenbanken zur Vermeidung von Single Points of Failure.
    • Backups: Regelmäßige Erstellung und Überprüfung von Backups, die an sicheren und separaten Standorten gespeichert werden.
    • Notfallpläne: Entwicklung und regelmäßige Tests von Notfallplänen und Wiederherstellungsverfahren.

2.2 Authentizität

  • Definition: Sicherstellung, dass die Identität von Benutzern, Systemen und Informationen zweifelsfrei festgestellt werden kann.
  • Maßnahmen:
    • Starke Authentifizierung: Einsatz von Multi-Faktor-Authentifizierung (MFA) für den Zugang zu kritischen Systemen und Daten.
    • Digitale Zertifikate: Nutzung digitaler Zertifikate zur Verifizierung der Identität von Benutzern und Systemen.
    • Authentifizierungsprotokolle: Implementierung sicherer Authentifizierungsprotokolle wie OAuth und SAML.

2.3 Integrität

  • Definition: Sicherstellung, dass Informationen und Systeme vor unbefugter Veränderung oder Zerstörung geschützt sind.
  • Maßnahmen:
    • Hashing: Einsatz von kryptografischen Hash-Funktionen zur Überprüfung der Datenintegrität.
    • Digitale Signaturen: Verwendung digitaler Signaturen zur Sicherstellung der Unveränderbarkeit von Dokumenten und Nachrichten.
    • Integritätsüberwachung: Implementierung von Systemen zur kontinuierlichen Überwachung und Protokollierung von Änderungen an Daten und Systemen.

2.4 Vertraulichkeit

  • Definition: Sicherstellung, dass Informationen nur von autorisierten Personen eingesehen und verwendet werden können.
  • Maßnahmen:
    • Verschlüsselung: Einsatz starker Verschlüsselungsverfahren für Daten im Ruhezustand und während der Übertragung.
    • Zugriffskontrollen: Implementierung strikter Zugriffskontrollen basierend auf dem Need-to-Know-Prinzip und rollenbasierter Zugriffskontrolle (RBAC).
    • Datenschutzrichtlinien: Entwicklung und Durchsetzung umfassender Datenschutzrichtlinien, die den Umgang mit sensiblen Daten regeln.

3. Risikomanagement

3.1 Risikoanalyse

  • Eintrittswahrscheinlichkeit und Schwere: Durchführung regelmäßiger Risikoanalysen zur Bewertung der Eintrittswahrscheinlichkeit und Schwere potenzieller Sicherheitsvorfälle.
  • Bedrohungsmodellierung: Einsatz von Bedrohungsmodellierungstechniken zur Identifikation und Bewertung von Cyberrisiken.

3.2 Risikobehandlung

  • Schutzmaßnahmen: Implementierung geeigneter technischer und organisatorischer Maßnahmen zur Minderung identifizierter Risiken.
  • Überwachung: Kontinuierliche Überwachung und Anpassung der Schutzmaßnahmen entsprechend dem aktuellen Bedrohungs- und Risikoanalyse.

4. Technische und organisatorische Maßnahmen zu deren Erreichung

4.1 Technische Maßnahmen

  • Netzwerksicherheit: Implementierung von Firewalls, Intrusion Detection und Prevention Systemen (IDS und IPS), und Virtual Private Networks (VPNs) zur Absicherung der Netzwerkinfrastruktur.
  • Patch-Management: Regelmäßiges Einspielen von Sicherheitsupdates und Patches für alle Systeme und Anwendungen.
  • Endpoint-Sicherheit: Einsatz von Antivirus- und Antimalware-Software sowie regelmäßige Überprüfung und Aktualisierung der Sicherheitseinstellungen auf Endgeräten.

4.2 Organisatorische Maßnahmen

  • Schulungen und Sensibilisierung: Regelmäßige Schulungen und Sensibilisierungsmaßnahmen für alle Mitarbeiter zur Stärkung des Sicherheitsbewusstseins.
  • Zugriffskontrollrichtlinien: Entwicklung und Durchsetzung strikter Richtlinien zur Verwaltung und Kontrolle von Benutzerzugriffen.
  • Informationsveranstaltungen: Teilnahme an Informationsveranstaltungen und Schulungen des Kunden zur Einhaltung der spezifischen Sicherheitsanforderungen des Kunden.

5. Schlussfolgerung

Durch die Implementierung dieser technischen und organisatorischen Maßnahmen gemäß den Standards der ISO/IEC 27001 und unter Berücksichtigung des Stands der Technik und angemessener Standards wie dem IT-Grundschutz des BSI, stellt die automIT AG sicher, dass die Informationssicherheit auf höchstem Niveau gewährleistet ist und Cyberrisiken angemessen gesteuert werden.

Last updated: April 10, 2025: feat(ISO-1139-Kap6): improved Kap 6 (faaecb7)
Bearbeiten