Einführen

Schritt 2:

Assessment der relevanten IT-Assets

Wurde, unter Auswertung der Ergebnisse aus Schutzbedarfsfeststellung oder BIA, festgelegt, welche Assets in das Monitoring integriert werden sollen, müssen Assessments gemeinsam mit den Asset-Verantwortlichen durchgeführt. Dabei werden die relevanten und technisch abbildbaren Szenarien definiert und einer Risikoanalyse unterzogen. Alle als risikobehafteten Szenarien sind dann für das Logging innerhalb des Assets vorzubereiten.

Implementierung des Monitoring

Die Implementierung des Monitorings hat im wesentlichen drei Aspekte. Zunächst muss das Monitoring-Tool aufgesetzt und betriebsbereit gemacht werden. Anschließend können die identifizierten Szenario-Logs aus den Applikationen an das Tool angebunden werden. Abschließend sind die Prozesse für Reporting bzw. Alarmierung zu implementieren. Sämtliche Umsetzungsschritte müssen durch extensives Testen begleitet werden, um die Funktionsfähigkeit des Monitorings sicherzustellen.

Prüfungssicheres Testen (Audit-Niveau)

Der Fokus von Aufsichtsbehörden, Gesetzgebern, internen sowie externen Prüfern verschiebt sich immer weiter Richtung IT-Sicherheit und Compliance im Allgemeinen. Um schwerwiegende Feststellungen bei einer Prüfung zu vermeiden, ist von Anfang an auf einen klaren und ggf. aufsichtsrechtkonformen Testprozess zu achten. Das Testen sollte dabei idealerweise durch einen unabhängigen Dritten begleitet werden.