IT-Sicherheitskonzepte

Warum IT-Sicherheitskonzepte? Firmen und Institutionen haben ein Interesse daran, dass interne Informationen nicht in falsche Hände geraten. Gesetzliche Vorgaben erfordern die Anwendung von entsprechenden Schutzmaßnahmen. Dass dies in Zeiten komplexer Firmenstrukturen und einer Vielzahl elektronischer Informationswege nicht einfach sicherzustellen ist, ist einsehbar. Das Bundesamt für die Sicherheit in der Informationstechnik (BSI) unterstützt mit Kriterien-Katalogen die Durchführung von IT-Sicherheitsanalysen und den daraus abzuleitenden Schutzmaßnahmen, die dann in einem IT-Sicherheitskonzept zusammengefasst werden.

IT-Sicherheit im militärischen Bereich

Auch für neu projektierte Systeme des militärischen Bereichs sind – insbesondere vor dem Hintergrund veränderter Bedrohungsszenarien – detaillierte projektbegleitende Sicherheitsanalysen erforderlich. Allerdings gelten im militärischen Bereich weitergehende Bestimmungen als im zivilen Bereich. Ein projektbezogenes IT-Sicherheitskonzept ist in der Konzeptphase eines Systems zu entwerfen und bis zur Systemeinführung fortzuführen.

CONDOK erstellt für Sie projektbezogene IT-Sicherheitskonzepte

Das projektbezogene IT-Sicherheitskonzept ermittelt für die im System gespeicherten, verarbeiteten und übermittelten Daten und Informationen sowie ggf. für Programme den jeweils zutreffenden Schutzbedarf bezüglich Vertraulichkeit, Integrität, Verbindlichkeit und Verfügbarkeit. Auf der Grundlage dieser Analyse erfolgt eine Zuordnung des Projektes zu einem Schutzbereich, aus dem dann Anforderungen an die IT-Sicherheit und die zu treffenden Schutzmaßnahmen resultieren.

Dies erfolgt für folgende Aspekte eines Systems:

  • Technik
  • Organisation
  • Personal
  • Infrastruktur/Material

Bei der Festlegung der IT-Sicherheitsmaßnahmen werden diese auch hinsichtlich ihrer Wirtschaftlichkeit überprüft und einer projektspezifischen Bedrohungs- und Risikoanalyse unterzogen. Das Restrisiko wird dann hinsichtlich seiner Tolerierbarkeit bewertet. Des Weiteren wird der mögliche materielle bzw. immaterielle Schaden bei Fortfall der IT-Sicherheitsmaßnahme ermittelt bzw. es werden kostengünstige Alternativen gesucht.

Zu jedem IT-Sicherheitskonzept gehört auch eine Notfallvorsorge, in der die detaillierte Beschreibung der Vorgehensweise zur Wiederherstellung der Systemfunktionalität nach einem Totalausfall beschrieben wird.

Die ermittelten Schutzmaßnahmen können bereits bei der Systemplanung – wie z. B. im Rahmen der Erstellung von Realisierungs- und Einbauvorschlägen – Berücksichtigung finden.