Bestimmungungs-Phase

Die Phase der Bedarfsbestimmung im Bereich der Sicherheit ist der erste Schritt zur Umsetzung einer Sicherheitspolitik.

Das Ziel ist es die Bedürfnisse der Organisation zu ermitteln, indem eine wahre Bestandsaufnahme des Informationssystems erfolgt, um anschließend die verschiedenen Risiken und Bedrohungen zu analysieren, umso eine angepasste Sicherheitspolitik umzusetzen.

Die Definitions-Phase enthält drei Etappen :

• Die Identifizierung des Bedarfs
• Die Analyse der Risiken
• Die Definition der Sicherheitspolitik

Identifizierung des Bedarfs

Die Phase der Identifizierung des Bedarfs besteht zuerst darin, den Inventar des Informationssystems zu erstellen, insbesondere für die folgenden Elemente :

• Personen und Funktionen ;
• Material, Server und angebotene Dienste ;
• Kartographie des Netzwerkes (Adressierungsplan, physische Topologie, logische Topologie, usw.) ;
• Liste der Domainenamen des Unternehmens ;
• Kommunikationsinfrastruktur (Router, Umschalter, usw.) 
• Sensible Daten.

Analyse der Risiken

Die Etappe der Risikoanalyse besteht darin die verschiedenen Risiken aufzulisten, ihre Wahrscheinlichkeit einzuschätzen und schließlich ihre Auswirkungen zu analysieren.

Der beste Ansatz um die Auswirkungen einer Bedrohung zu analysieren, besteht in der Einschätzung der Kosten die diese hervorrufen könnte (z.B. der Angriff auf einen Server oder die Zerstörung von Daten, die für das Unternehmen lebenswichtig sind).

Auf dieser Basis ist es möglicherweise interessant eine Tabelle der Risiken und deren Potenzial zu erstellen, das heißt die Wahrscheinlichkeit ihres Auftretens, indem ihnen abgestufte Level, nach einer zu definierenden Skala, zugeordnet werden, z.B. :

• Gegenstandslos (oder unwahrscheinlich) : die Bedrohung ist nicht als solche anzusehen ;
• Schwach : die Bedrohung hat wenig Chancen aufzutreten ;
• Mittel  : die Bedrohung ist real ;
• Hoch : die Bedrohung hat große Chancen aufzutreten.

Definition der Sicherheitspolitik

Die Sicherheitspolitik ist das Referenzdokument, welches die gesetzten Zielsetzungen im Bereich der Sicherheit definiert, sowie die umgesetzten Mittel um diese zu erreichen.

Die Sicherheitspolitik definiert eine gewisse Anzahl an Regeln, Prozeduren und erfolgreichen Methoden, die es ermöglichen ein Sicherheitsniveau zu garantieren, welches den Bedürfnissen der Organisation entspricht.

Ein solches Dokument sollte unbedingt wie ein richtiges Projekt behandelt werden, welches Vertreter der Benutzer einbezieht und auf höchster Ebene der Hierarchie geführt wird, damit es von allen akzeptiert wird. Wenn die Verfassung der Sicherheitspolitik abgeschlossen ist, müssen die Klauseln bezüglich der Mitarbeiter, Letzteren mitgeteilt werden, umso der Sicherheitspolitik eine möglichst große Wirkung zu verleihen.

Methoden

Es gibt zahlreiche Methoden die es ermöglichen eine Sicherheitspolitik zu entwickeln. Hier eine Liste, ohne Vollständigkeitsanspruch, der wichtigsten Methoden :

• MARION (Méthodologie d'Analyse de Risques Informatiques Orientée par Niveaux, d.h. Methodologie der niveauorientierten Analyse der Informatikrisiken), entwickelt von dem CLUSIF ;
  • https://www.clusif.asso.fr/fr/production/mehari/
• MEHARI (MEthode Harmonisée d'Analyse de Risques, d.h. Harmonisierte Methode der Risikoanalyse) ;
  • https://www.clusif.asso.fr/fr/production/mehari/
• EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité, d.h. Bedarfsausdruck und Identifizierung der Sicherheitszielsetzungen), entwickelt von der DCSSI (Direction Centrale de la Sécurité des Systèmes d'Information) ;
  • http://www.ssi.gouv.fr/fr/confiance/ebios.html
• Die Norm ISO 17799.