Audits
Die hier vorgestellte Methode lehnt sich an die nach dem BSI (Bundesamt für Sicherheit in der Informationstechnik) empfohlene aktuelle Verfahrensweise zur Ermittlung des IT-Grundschutzes eines IT-Verbundes/Unternehmens an.
Ziel: Erkennen von Gefährdungen und Umsetzen geeigneter Maßnahmen zum Schutz der Daten
- Phase I - Stammdatenerfassung
Formalisierte Erfassung aller Objekte eines IT-Verbundes. In einem IT-Verbund sind alle Objekte zusammengefasst, die einen Geschäftsprozes oder eine Organisationseinheit unterstützen. - Phase II - Strukturanalyse
In diesem Prozess werden die Objekte untereinander in Beziehung gesetzt. - Phase III - Risikoanalyse
Zu Beginn dieser Phase wird der Wert und damit der Schutzbedarf der von den Anwendungen verarbeiteten Daten ermittelt. Davon ausgehend werden alle Objekte dahingehend überprüft, welchem Schutzbedarf sie genügen müssen. Kritische Objekte werden identifiziert und Sicherheitsrisiken werden bewertet. - Phase IV - Sicherheitsmaßnahmen
Planung der geeigneten Maßnahmen gegen die aus Phase III ermittelten Risiken. Am Ende erfolgt die Restrisikobetrachtung.
- Performance Tests
- Netzwerkanalyse
- Kabelmessungen
- Penetrationstests
- Dokumentationen