WiBA – la voie vers une protection de base

Ce n’est pas seulement depuis l’échec des administrations régionales d’Anhalt-Bitterfeld ou de Rheinpfalz que l’on sait que les gouvernements locaux ont également un certain retard à rattraper en matière de sécurité de l’information. Les petites communautés sont également touchées et n’en subissent pas moins les conséquences. L’éminent Jens Lange, ITSiBe de la ville de Kassel, gère un joli portail d’information (un grand merci à ce stade, Jens, pour votre travail !) sur https:// come mu na ler -ne pas être trieb .de

Mais les entreprises, également totalement indépendantes du secteur et de la taille, ne sont pas épargnées par ce problème. Vous pouvez avoir une idée approximative de la fréquence à laquelle il cogne sous fournir.

Les deux portails ne peuvent montrer qu’une partie de la misère, car tous les « incidents » en matière de sécurité de l’information dans les municipalités et les entreprises ne parviennent pas au public. Cela signifie que le nombre de défaillances (ou d’inexistence) non signalées en matière de sécurité de l’information est beaucoup plus élevé en cas de doute.

Normes de sécurité de l’information

Il existe plusieurs normes sur la sécurité des informations sur le marché. Il y a par exemple

• ISO 27001 (native ou basée sur la protection informatique de base)
• La protection informatique de base du BSI (Office fédéral pour la sécurité de l’information) dans les 3 niveaux de sécurité basic, core et standard
• TISAX (un représentant bien connu, notamment dans le secteur automobile)
• CISIS12 (ehemalis ISIS12)
• ISMS4KMO (en tant que norme en tant que développement ultérieur d’ISIS12, mais aussi en tant qu’outil pour la norme ISO 27001 et la protection informatique de base)
• “Aide au travail” (une protection à tous les niveaux d’une organisation, développée par Ask Datenschutz pour le compte de l’Innovationsstiftung Bayerische Kommune)
• SiKoSH (Concept de sécurité Schleswig-Holstein) ou encore
• VDS 10.000 ehemals 3473.

Il existe d’autres représentants, mais nous nous sommes limités aux normes avec une large base d’installation connue. Il existe également divers outils de vulnérabilité, mais ceux-ci représentent pour la plupart des analyses ponctuelles des forces et des faiblesses et ne se concentrent pas sur le fonctionnement d’un concept de sécurité de l’information. Ceux-ci incluent, par exemple, ISA+ et autres.

Toutes les normes ont une chose en commun : la sécurité de l’information implique de travailler dans presque toutes les parties d’une organisation et coûte du temps, de l’argent et des ressources humaines. De plus, certaines normes adhèrent à des déclarations presque légendaires telles que « La mise en œuvre de l’IT-Grundschutz prend au moins 5 ans, quelle que soit la taille de l’organisation. » ou « La norme XYZ nécessite au moins 50 à 60 jours de consultant externe ». Eh bien… En fait, l’ancienne norme 100-x de l’IT-Grundschutz était une planche épaisse qui devait être percée. Mais même les grandes organisations n’ont jamais eu besoin de 5 ans pour cela. Et avec ce que l’on appelle le Compendium (200‑x) et les 3 niveaux de sécurité de bas en haut, une entrée moderne et à faible seuil dans la protection de base informatique du BSI a été créée. La terreur du passé a perdu sa raison d’être. Et un nombre extrêmement élevé de journées de conseil externe ne peuvent – quelle que soit la norme choisie – se produire si votre propre organisation ne fait pratiquement aucun effort lors de la mise en œuvre du système de gestion de la sécurité de l’information. Cela peut sembler pratique, même si cela coûte cher, mais cela passe à côté de l’intérêt et du but. Après tout, la sécurité de l’information est gérée par votre propre organisation et cela n’aide pas beaucoup si tout le travail est effectué par des parties externes (manque de savoir-faire interne, « escalier de consultants »).

WiBA — la voie vers une protection de base

Le BSI a élaboré un catalogue de questions de 18 documents afin de rendre l’accès à l’IT-Grundschutz encore plus bas que ce qu’on fait déjà avec la protection dite de base. Grâce à un traitement cohérent, cela devrait permettre d’identifier les faiblesses actuelles en matière de sécurité de l’information (organisationnelles, infrastructurelles, techniques, procédurales) afin de pouvoir ensuite les éliminer. Une approche louable et particulièrement adaptée aux organisations qui évitaient auparavant tout contact avec le sujet.

Les sujets suivants sont actuellement abordés :

1. travailler en dehors de l’institution
2. Travail au sein de l’institution /​ services du bâtiment
3. Sauvegarde
4. Logiciel de bureau
5. Client
6. imprimantes et appareils multifonctions
7. Administration informatique
8. appareils mobiles
9. Réseau
10. organisation et personnel
11. Externalisation et Cloud
12. Rollen /​ Berechtigungen /​ Authentisierung
13. Espace serveur
14. Système de serveur
15. Mécanismes de sécurité
16. téléphonie et fax
17. traitement de l’information
18. Se préparer aux incidents de sécurité

Les questions du test sont rarement approfondies. Par exemple, le chapitre 6 Externalisation et Cloud contient 6 questions de test. Cela rend également très claire l’intention de l’entrée à bas seuil, notamment par un champ d’application réduit.

Les questionnaires sont actuellement disponibles en ligne au format Word sous forme de brouillons communautaires. Le BSI demande explicitement que ceux-ci soient utilisés et vérifiés et que les suggestions et compléments soient renvoyés. Ces retours devraient ensuite être inclus dans la version finale de WiBA – Weg in die Basissicherung.

Dans l’espoir que tous les liens sur les sites Web du BSI ne seront pas à nouveau modifiés prochainement, voici le lien direct vers le sujet : https://www .bsi .bund .de/ D E / T h e m e n / U n t e r n e h m e n – un n d – O r g a n i s a t i o n e n / St a n d a r d s – un n d – S e r t i f i z i e r u n g / I T – G r un d s ch u t z / W I B A / W e g _ je n _ meurs _ B a s i s _ A b s i c h e r u n g _ W i B A .h tml

Considérations sur la conception /​ mise en œuvre actuelle de WiBA – chemin vers une protection de base

WiBA peut certainement être une introduction appropriée au thème de la sécurité de l’information pour les organisations qui n’ont pas encore eu de contact avec le sujet et qui débutent tout juste. “schnuppern” vouloir. Vous devez garder à l’esprit qu’il ne s’agit que d’une analyse des points faibles basée sur des questions. Le cycle PDCA appartenant à un SMSI, y compris les responsabilités, tâches et processus nécessaires, n’est pas inclus. Comme l’écrit le BSI lui-même dans le résumé de gestion, WiBA – la voie vers une protection de base ne peut être que la première étape en matière de sécurité de l’information. Car une analyse des points faibles à elle seule ne suffit pas.

Le lien entre les questions du test et les éléments constitutifs de l’IT-Grundschutz est positif. Cela devrait faciliter la mise à niveau ultérieure vers la protection de base, car il y aura un effet de reconnaissance. Mais d’autres systèmes font de même.

La raison pour laquelle les gens ont travaillé avec des tableaux Word de toutes choses restera probablement un mystère. Nous souhaitons à la personne qui est censée documenter et suivre les résultats à l’aide de ces documents beaucoup de force et de patience ????

WiBA est désormais disponible en tant que projet communautaire, il n’est donc pas encore final. En revanche, d’autres concepts, qui garantissent également un accès facile au thème de la sécurité de l’information et jettent en même temps les bases du fonctionnement ultérieur du SMSI, ont déjà fait l’objet de plusieurs années de développement. Tout d’abord, c’est l’exemple ici Aide au travail de la Fondation pour l’innovation de la commune bavaroise appelé, apparu pour la première fois en 2016 et désormais disponible en version 5. La raison pour laquelle un développement interne est désormais lancé au lieu d’utiliser les systèmes existants ou de les recommander reste floue. Ok, l’effort pour l’aide-mémoire serait plus élevé. Mais il faudrait aussi faire face à Systematik ISA+ des IT-Sicherheitsclusters Regensburg ou avec le modèle de maturité « Communale de sécurité informatique » de l’Office d’État pour la sécurité de l’information en Bavière, ou LSI en abrégé. D’ailleurs : même si l’aide au travail a été développée à l’origine pour les communes, elle peut également être utilisée par les entreprises. Que le responsable de l’organisation s’appelle le maire ou le directeur général ne change pas les exigences de sécurité, tout au plus un risque de responsabilité personnelle ???? Si vous le souhaitez professionnel : Veuillez nous contacter pour une implémentation logicielle de l’aide au travail. Les documents Word spécifiés par le client à l’époque sont tout sauf pratiques lorsque le SMSI est en cours d’exécution.

De plus : quiconque est déjà équipé d’un ISMS basé sur ISIS12, d’une aide au travail ou d’un VDS et les fait fonctionner avec succès ne sera pas satisfait de WiBA – la voie vers une protection de base. Il serait ici conseillé de franchir l’étape logique vers la protection de base BSI IT-Grundschutz ou, pour les communes, le profil dit communal dans le cadre de la protection de base.

Et n’oubliez pas – comme l’écrit si bien le BSI (pas seulement dans le contexte du WiBA – chemin vers la protection de base) : la sécurité de l’information est l’affaire du patron ! Et chaque pas vers plus de sécurité des informations compte. Alors bravo BSI !

D’ailleurs, le délégué à la protection des données se réjouit également lorsque le thème de la sécurité de l’information est mis en œuvre de manière cohérente et systématique dans l’organisation. Cela soulage un peu la chaudière en ce qui concerne la sécurité du traitement selon l’article 32 du RGPD.