Ist- zu Soll-Zustand Flashcards
Was ist Ziel der Bewertung des Ist-Zustands?
Ziel ist, sich einen Überblick über den aktuellen Status der Informationssicherheit zu verschaffen, um anschließend den Aufwand besser schätzen zu können
Methoden zur Erhebung des Ist-Zustands
- Selbstauskunft (Fachbereiche geben Auskunft)
- Interviews (Befragung durch ISO)
- Audit (Zusätzliche Nachweise zur Umsetzung)
- Vulnerability Scan (Automatischer Scan der Netzwerke)
- Penetration Test
Schritte der Gap-Analyse
- Grundlage identifizieren (was soll analysiert werden, was soll damit erreicht werden?)
- Idealzustand formulieren
- Aktuellen Zustand analysieren (was hat dazu geführt, dass ein Ziel Unterschriften wurde?)
- Aktuellen Zustand mit Idealzustand vergleichen
- Beschreiben der Lücke und ggf. quantifizieren des Unterschieds (quantitativ oder qualitativ)
- Zusammenfassung der Empfehlungen, Erstellen eines Plans
Herausforderungen bei GAP-Analyse/Reifegradanalyse
- Auditor
- Ursachenfindung
- Umfang
- Ungenauigkeit
Reifegradanalyse
Erhebung, wie gut die Fähigkeit einer Organisation ist, Prozesse und Maßnahmen durchzuführen
-> Definiert in Stufen. Zur Erlangung der nächsten Stufe müssen normalerweise die vorherigen auch erreicht sein.
GAP-Analyse versus Reifegradanalyse
Gap:
+ Konkrete Anforderungen, Ja/Nein möglich
- Nur Prüfung der Anwesenheit der Prozesse
Reifegrad:
+ Genauere Analyse möglich
- Dahinterliegender Prozess identisch
Reifegradmodelle
- CMMI: Capability Maturity Model Integration
- SSE-CMM: Systems Security Engineering Capability Maturity Model
- CMMC: Cybersecurity Maturity Model Certification
CMMI
- Bezeichnet eine Familie von Referenzmodellen, welche von der ISACA entwickelt wurde und häufig bei der Entwicklung verwendet wird. Mithilfe des Modells kann der Reifegrad von Prozessen und Maßnahmen bewertet werden.
1. Initial - Prozesse/Maßnahmen sind unvorhersehbar und nur wenig steuerbar
2. Managed - Prozesse/Maßnahmen werden aktiv gesteuert und können erfolgreich wiederholt werden
3. Defined - Prozesse/Maßnahmen werden nach einem definierten Standard durchgeführt und es gibt eine organisationsweite kontinuierliche Prozess-/Maßnahmenverbesserung
4. Quantitatively Managed - Es wird eine statistische Prozess-/Maßnahmenkontrolle durchgeführt
5. Optimized - Prozesse/Maßnahmen werden kontinuierlich geprüft und verbessert
SSE-CMM
- Wird in der ISO/IEC 21827:2008 beschrieben und basiert auf dem Vorgänger Modells des CMMI, konzentriert sich allerdings auf Themen der Informationssicherheit.
0. Not performed
1. Performed Informally
2. Planned & Tracked
3. Well defined
4. Qualitatively Controlled
5. Continously Improving
CMMC
- Wurde vom Verteidigungsministerium der USA herausgebracht und ist ein Modell, mit welchem der Reifegrad der Cybersecurity gemessen werden soll.
1. Performed
2. Documented
3. Managed
4. Reviewed
5. Optimizing
Cyber-Security-Strategie Schritte
- Startpunkt erheben
- Ziel definieren
- Handlungsfelder auswählen
Cyber-Security-Strategie: Erhebung des Startpunkts
- Geschäftsstrategie
-> Gibt das Zielbild wieder
-> Definiert notwendige Maßnahmen, um das Ziel zu erreichen - Ist-Zustand
-> Durchführung mithilfe einer Reifegraderhebung
-> Ergebnis: Implementierte und nicht-implementierte Maßnahmen - Risiken:
-> Risiken, die sich aus der Art des Geschäfts des Unternehmens ergeben (Marktrisiken, gesell. Risiken) SWOT
-> Risiken, die sich aus der Art ergeben, wie das Unternehmen sein Geschäft führt (Dienstleisterrisiken, IT-Risiken)
-> Risiken, die sich aus der Art der Umgebung des Unternehmens ergeben (Cyber Security Risiken) Pestel
Pestel-Analyse Faktoren
- Rechtlich
- Politisch
- Ökologisch
- Technisch
- Sozial
- Wirtschaftlich
Definition des Ziels: Faktoren zur Auswahl von Maßnahmen
- Strategische Relevanz
- Risiko-Relevanz
- Nachhaltigkeit
- Effizienz
- Stakeholder-Unterstützung
SWOT Analyse
- y-Achse: Umfeld, Unternehmen
- x-Achse: positiv, negativ
Stärken, Schwächen, Chancen, Bedrohungen
