Controls
Die deutsche Normfassung spricht hier in der dt. Fassung von Maßnahmen, es handelt sich aber um einzelne Sicherheitsanforderungen, die eine Organisation zu erfüllen hat. Immer dann, wenn sie im geschäftlichen Umfeld relevant ist.
Sollten Controls für meine Organisation irrelevant sein, so muss ich das zum Mindes begründen. Vgl. Buch - Abschnitt 8.2
Beispiele für solche Maßnahmen sind in der ISO27002 zu finden. Ggf. können auch die Kataloge des IT-Grundschutzes oder das Grundschutz-Kompendium verwendet werden.
Streng genommen muss man die 114 Controls für jedes Asset aus der Inventarisierung abarbeiten. Das verursacht einen erheblichen Aufwand.
Hat man jedoch bei der Inventarisierung eine Hierarchie mit Top Level Assets und Ressourcen eingeführt, kann man die Vorgehensweise vereinfachen:
Die Praxis hat gezeigt, dass es ausreicht, die Controls für die einzelnen Top Level Assets durchzuspielen - was fast immer eine überschaubare Liste darstellt.
Die praktische Vorgehensweise sieht nun so aus, dass eine Tabelle erzeugt wird, in der in der ersten Spalte die 114 Controls eintragen werden und anschließend für jedes Top Level Asset eine weitere Spalte vorgesehen wird.
Für jedes Top Level Asset und jedes Control wird dann eingetragen, ob das betreffende Control relevant ist:
- wenn nein: eine Begründung
- wenn ja: welche konkreten Maßnahmen (ggf. auch Optionen) zur Umsetzung des Controls geplant oder bereits vorhanden sind
Praxistipp: Statt alles in einer Tabelle zu vereinen, verweise auf Begründungen oder Maßnahmen in separaten Tabellen bzw. Tabellenblättern. Bei DIGITALPRINZIP separate Wiki-Seiten verwenden.
- TODO