Cyber-Richtlinien VdS 3473

cyber-sicherheits-check-vds

Mit den Cyber-Richtlinien 3473 reagiert VdS auf die wachsende Bedeutung der Informationssicherheit. Die Richtlinien VdS 3473 enthalten Mindestanforderungen an die Informationssicherheit insbesondere für KMU, ohne Unternehmen organisatorisch oder finanziell zu überfordern. Zudem sind sie branchenneutral gehalten. Die umzusetzenden Maßnahmen der VdS 3473 konzentrieren sich auf das technisch und organisatorisch Wesentliche für KMU und sind daher für die meisten Organisationen direkt und praxisnah umsetzbar. Auf Basis der Richtlinien kann ein VdS-Zertifikat erlangt werden.

Verfahren

Um Organisationen, die ihre Informationssicherheit auf der Basis von VdS 3473 zertifizieren lassen möchten, den Einstieg zu erleichtern, hat VdS zwei vorgeschaltete Instrumente entwickelt.

Der VdS-Quick-Check präsentiert Unternehmen einen ersten Überblick, wie der aktuelle Status ihrer Cyber-Security ist und wo Handlungsbedarf besteht. Der Quick-Check ist eine Selbstauskunft mit 39 Fragen aus den Handlungsfeldern Organisation, Technik, Prävention und Management und schließt mit einem ausführlichen Statusbericht zur Informationssicherheit ab.

Auf den Ergebnissen des Quick-Checks können Unternehmen dann im zweiten Schritt mit dem sogenannten Quick-Audit aufbauen. Das Quick-Audit wird vor Ort von einem unabhängigen Auditor durchgeführt, der den Status der Informationssicherheit testiert und weitere Verbesserungsmaßnahmen ermittelt.

Mit der dritten Stufe, der VdS-Zertifizierung auf Basis der VdS 3473, können Organisationen auch nach außen dokumentieren, dass Sie eine angemessene Informationssicherheit implementiert haben.

Methodik der Richtlinien VdS 3473

VdS 3473 sieht im Wesentlichen ein Vorgehen in 6 Phasen vor.

  • Phase 1: Organisation der Informationssicherheit. Beispielsweise ist hier die Zuweisung von Verantwortlichkeiten, Zuweisung und Bereitstellung von Ressourcen durch das Topmanagement, Benennung eines Informationssicherheitsbeauftragten sowie die Verantwortung des Topmanagements geregelt.
  • Phase 2: Erstellung einer Informationssicherheitsleitlinie. In dieser Phase wird eine Leitlinie erstellt, die u.a. die Ziele und den Stellenwert der Informationssicherheit im Unternehmen, die Positionen/Rollen und deren Aufgaben und Befugnisse für den Informationssicherheitsprozess beschreibt.
  • Phase 3: Erstellung von sogenannten Richtlinien zur Informationssicherheit. Diese Phase dient zur Konkretisierung und Unterstützung der Informationssicherheitsleitlinie auf die verschiedenen Zielgruppen des Unternehmens, z.B. eine Richtlinie für Nutzer (Privatnutzung, grundlegende Verhaltensregeln), Regelungen für Dienstleister (Zugriff des Dienstleisters auf die IT-Infrastruktur etc.) und weitere Regelungen für den Einsatz von mobilen IT-Systemen.
  • Phase 4: Implementierung des Basisschutzes. Der Basisschutz, wie z.B. Updates, Beschränkung des Netzwerkverkehrs, Authentifizierung etc. muss für alle IT-Systeme umgesetzt sein. Sollte das nicht der Fall sein, muss eine Risikoanalyse durchgeführt werden, die begründet, warum der Basisschutz nicht angewendet wurde.
  • Phase 5: Identifikation von kritischen Ressourcen. Dazu zählen Prozesse, Informationen, IT-Systeme, mobile Datenträger, Verbindungen sowie Individualsoftware, die für das Unternehmen existentiell sind (katastrophale Schäden, Verlust des Geschäftsgrundlage aufgrund von Gesetzesverstößen, Auswirkungen auf Leib und Leben von Personen etc.)
  • Phase 6: Implementierung zusätzlicher Maßnahmen für kritische Ressourcen. Für diese sind über den Basisschutz hinausgehende Sicherheitsmaßnahmen umzusetzen, z.B. Anforderungen an die Robustheit, an das Änderungsmanagement oder auch an die Datensicherung.

Quelle: http://www.secupedia.info/wiki/Cyber-Richtlinien_VdS_3473#ixzz4FUEOOGbk
Lizensiert unter Creative Commons Namensnennung-Weitergabe unter gleichen Bedingungen 3.0 Deutschland (http://www.secupedia.info/wiki/SecuPedia:Lizenzbestimmungen)

Schlagwörter: