Teil 5 · Sicherheit

Der Teil, der schützt, was die anderen aufgebaut haben.

Die Teile 1 bis 4 steuern die Information, sie sorgen dafür, dass das Richtige erzeugt, gesteuert, ausgetauscht und angenommen wird. Teil 5 übernimmt die andere Hälfte. Er schützt diese Information: Er entscheidet, was sensibel ist, wer sie sehen darf und was geschieht, wenn etwas schiefläuft.

Der sicherheitsorientierte Ansatz ist kein Aufsatz für Verteidigungsprojekte. ISO 19650-5 gilt für jedes Projekt. Was sich von Projekt zu Projekt ändert, ist, wie viel davon aktiviert wird, und das entscheidet ein einziger erster Schritt, die Triage. Etwa sechzehn Minuten Lesezeit.

Sicherheit ist kein Tresor, den Sie am Ende bauen. Sie ist eine Frage, die Sie am Anfang stellen, zu jeder einzelnen Information: Könnte sie Schaden anrichten, wenn sie nach außen gelangt?

Überspringen Sie diese Frage, haben Sie an dem Tag, an dem ein Vorfall eintritt, keine belastbare Position.

Wie schützen wir sensible Informationen, ohne das ganze Projekt abzuriegeln?

Sie führen eine Triage durch. Bevor die AIA ausgegeben werden, prüft die auftraggebende Partei jede Kategorie von Information, die das Projekt erzeugen wird, mit einem einzigen Test, könnte eine Kompromittierung Schaden anrichten? Die meisten Kategorien kommen mit Nein zurück und laufen unverändert durch die normale CDE. Eine Minderheit kommt mit Ja zurück, und diese wird eingestuft und mit Maßnahmen versehen, die im Verhältnis zum Schaden stehen. Die Triage ist der erste Schritt in 19650-5, und das Dokument, das sie hervorbringt, steuert für den Rest des Projekts alles, was die Sicherheit betrifft.

Die Sicherheits-Triage Auf jedem Projekt durchgeführt, vor den AIA. Eine Frage, gestellt zu jeder Informationskategorie. Jede Informationskategorie Modelle · Zeichnungen · Spezifikationen · Berichte Kann eine Kompro- mittierung schaden? geprüft an drei Schäden: Personen · Organisation · nationale Sicherheit NEIN STANDARD normaler CDE-Ablauf, RBAC, Audit-Trail, die Maßnahmen aus Teil 1 JA EINSTUFEN & AKTIVIEREN Sensibel · Hochsensibel · Kritisch Maßnahmen skalieren mit dem Schaden CDE- Zonen technisch Prüfung + NDA Personal Notfall- plan Reaktion EINSTUFEN IM VERHÄLTNIS die meisten Informationen bleiben Standard eine Minderheit sensibel illustrativ Die Aufteilung ist illustrativ, kein gemessenes Verhältnis, der Anteil variiert je Projekt. Die Triage an jedem Stage Gate erneut durchführen.

Schritt 1, jede Kategorie erfassen

Listen Sie jede Art von Information auf, die das Projekt erzeugt, austauscht oder speichert: Architektur-, Tragwerks- und TGA-Modelle, Zeichnungen, Terminpläne, Spezifikationen, Berichte, Fotografien, Kostendaten, den Terminplan. Nichts ist davon ausgenommen, betrachtet zu werden, genau das bedeutet „gilt für jedes Projekt" in der Praxis.

Manche Kategorien melden sich von selbst: Layouts von Sicherheitsanlagen, Abdeckungspläne der Videoüberwachung, Spezifikationen der Zutrittskontrolle, Bewertungen baulicher Schwachstellen, Infrastrukturpläne von Rechenzentren. Die Triage ist die Art, wie Sie die erwischen, die sich nicht von selbst melden.

Schritt 2, gegen drei Schäden prüfen

Fragen Sie für jede Kategorie, ob eine Kompromittierung Schaden dreierlei Art anrichten könnte. Das ist der gesamte Test.

  • Schaden für Personen, Risiko für die körperliche Sicherheit oder Verletzung der Privatsphäre. Offengelegte Sicherheits-Layouts erlauben es jemandem, ein Eindringen zu planen; offengelegte Daten von Nutzern verletzen die Privatsphäre.
  • Schaden für Organisationen, wirtschaftlicher Verlust, Reputationsschaden, Wettbewerbsnachteil. Kostendaten, die an einen Wettbewerber gelangen; Entwurfs-IP, ohne Berechtigung weitergegeben.
  • Schaden für die nationale Sicherheit, Kompromittierung von Verteidigung, kritischer Infrastruktur oder nachrichtendienstlicher Fähigkeit. Militärische Layouts oder Steuerungssysteme von Kernanlagen, die offengelegt werden.

Eine Kategorie ist sensibel, wenn eine Kompromittierung Schaden einer der drei Arten anrichten könnte. Nein zu allen dreien, und sie folgt dem normalen CDE-Ablauf. Ja zu irgendeiner, und sie wird im nächsten Schritt eingestuft.

Schritt 3, die sensible Minderheit einstufen

Sensibel ist nicht eine einzige Stufe. Der Standard gliedert sie in vier Stufen, jede mit ihrer eigenen Schadensobergrenze.

  • Standard, keine besondere Sensibilität, vernachlässigbarer Schaden. Öffentliche Grundrisse, Marketing-Renderings, Landschafts-Layouts.
  • Sensibel, begrenzter Schaden: finanzieller Verlust oder Reputationsschaden. TGA-Layouts, Tragwerkslasten, Gerätespezifikationen, Kostendaten.
  • Hochsensibel, ernster Schaden: körperliche Gefahr oder erheblicher Verlust. Sicherheitsanlagen, Videoüberwachung, Zutrittskontrolle, Schutzräume, Stromversorgung von Rechenzentren.
  • Kritisch, kann Leben oder die nationale Sicherheit gefährden; maximale Maßnahmen. Militärische Layouts, Steuerungen von Kernanlagen, Kommunikation der Verteidigung.

Jede sensible Kategorie wird mit einer schriftlichen Begründung und der Freigabe eines Genehmigenden festgehalten, damit die Einstufung belastbar ist, keine Vermutung.

Schritt 4, Maßnahmen im Verhältnis

Die Stufe legt die Maßnahmen fest. Das ist der Kern des sicherheitsorientierten Ansatzes: Eine als hochsensibel eingestufte Kategorie erhält stärkeren Zugriffsschutz, Verschlüsselung, Prüfung und Audit als eine als sensibel eingestufte, und Standard-Informationen werden nicht mit Maßnahmen belastet, die sie nicht brauchen. Die vollständige Matrix steht unten; das Prinzip steht in einer Zeile. Verhältnismäßig, niemals pauschal.

Damit hört die Triage nicht auf. Sie wird dokumentiert, in die AIA und den BAP eingearbeitet und dann an jedem Stage Gate und bei jeder Umfangsänderung überprüft, denn was auf einem Projekt sensibel ist, bleibt selten gleich.

VertiefungDas Triage-Team, die Maßnahmenmatrix, der Vorrang von Vorschriften und der Überprüfungsplan

Wer die Triage durchführt

ISO 19650-5 legt die Triage in die Hand der auftraggebenden Partei, unterstützt von einem festgelegten Team. Sie wird nicht an das Lieferteam delegiert, das sie sich selbst zusammenreimen müsste.

RolleWarum sie am Tisch sitzt
Sicherheitsbeauftragter des AuftraggebersVerantwortet die Sicherheitsausrichtung des Auftraggebers; leitet die Triage
Berater für InformationssicherheitBringt das Wissen zu Bedrohungen und Maßnahmen ein
BIM-Berater / BIM-ManagerBildet die Sensibilität auf Informationskategorien und die CDE ab
Vertreter des PM-BeratersTrägt die Triage in Terminplan und Beschaffung
Vertreter des leitenden PlanungsbürosWeiß, was der Entwurf tatsächlich erzeugen wird
Vertreter der BranchenaufsichtNur, wo eine Branchenaufsicht zuständig ist

Die Matrix der verhältnismäßigen Maßnahmen

Jede Einstufungsstufe zieht ein festgelegtes Mindestmaß an Maßnahmen über acht Bereiche nach sich. Diese Tabelle ist der sicherheitsorientierte Ansatz, konkret gemacht, lesen Sie eine Spalte von oben nach unten, um alles zu sehen, was eine Stufe verlangt.

MaßnahmenbereichStandardSensibelHochsensibelKritisch
CDE-ZugriffAlle Teams über RBACBenannte Personen, Need-to-knowEingeschränkte CDE-Zone, Freigabe durch ManagerIsoliert / Air-Gapped, geprüftes Personal
AuthentifizierungPasswort (MFA empfohlen)MFA erforderlichMFA + GerätezertifikatMFA + Biometrie / Sicherheitsüberprüfung
VerschlüsselungStandard-TLSVerschlüsselt bei der ÜbertragungIm Ruhezustand + bei der ÜbertragungEnde-zu-Ende, kein Fernzugriff
Download-KontrolleStandardAlle Downloads protokollierenEingeschränkt, mit WasserzeichenKeine Downloads, kein USB, kein Druck
AuditStandard-TrailErweitert, regelmäßige ÜberprüfungVierteljährliches Audit + ZugriffsüberprüfungKontinuierliche Überwachung
PersonalStandard-OnboardingNDA unterzeichnetErweiterte Prüfung + NDASicherheitsüberprüfung erforderlich
PhysischStandard-BüroEingeschränkte BildschirmsichtSicherer Raum für den ZugriffAir-Gapped-Einrichtung, Videoüberwachung
VernichtungStandard-LöschungSichere Löschung protokolliertZertifizierte VernichtungBezeugte Vernichtung + Zertifikat

Ein Projekt kann eigene Maßnahmen darüber hinaus ergänzen, gefordert vom Auftraggeber, einer Branchenaufsicht oder dem örtlichen Recht.

Wo örtliches Recht den Standard schlägt

Die Triage gleicht die Anforderungen mit den geltenden Vorschriften ab, Datenschutzrecht, nationale Cybersicherheitsstandards, regionale Datenmanagement-Vorgaben, Regeln von Finanz- und Freizonen, Branchenaufsichten. Die Regel bei Konflikten ist einfach: Wo eine örtliche Anforderung über ISO 19650-5 hinausgeht, gewinnt die örtliche Anforderung. Der Standard ist ein Mindestmaß, keine Obergrenze.

Der Überprüfungsplan

Die Triage ist ein lebendes Dokument, kein einmaliges Formular. Sie wird erneut durchgeführt bei: anfänglicher Projektinitiierung, den Stage Gates Konzept- / Ausführungs- / Detailentwurf, Baubeginn, jeder Umfangsänderung, jeder Beauftragung einer neuen Partei und der Übergabe an den Betrieb. Neue Informationskategorien und geänderter Umfang öffnen die Frage beide erneut.

Die Triage entscheidet, was zu schützen ist. Drei Ebenen entscheiden, wie: die CDE selbst, die Menschen, die sie nutzen, und der Plan für den Fall, dass sie versagt.

Aus einer Einstufung echten Schutz machen

Eine Einstufung in einem Register schützt für sich genommen nichts. Sie muss zu Einstellungen, Unterschriften und einem erprobten Plan werden. Die verhältnismäßigen Maßnahmen landen an drei Orten, die technische Ebene innerhalb der CDE, die personelle Ebene um die Menschen herum und die Reaktionsebene, die auf den Tag wartet, an dem etwas schiefgeht. Jede erbt ihre Strenge von der Triage.

Drei Schutzebenen JEDE ERBT IHRE STRENGE VON DER TRIAGE Ebene 1 · Technisch CDE-Sicherheitszonen: Standard, Sensibel, Eingeschränkt, Isoliert. Die Maßnahmen verschärfen sich nach innen. Ebene 2 · Personal Prüfung und NDAs, gewährt auf berechtigtem Need-to-know, nie auf einer Stellenbezeichnung. Ebene 3 · Reaktion Der Notfallplan, geschrieben und erprobt, bevor die Produktion beginnt. Er nimmt an, dass die ersten beiden überwunden werden.

Ebene 1, CDE-Sicherheitszonen (technisch)

Die CDE hält Information nicht nur in vier Zuständen (Teil 1), bei sensiblen Projekten hält sie sie in ineinander verschachtelten Sicherheitszonen. Jede innere Zone erbt jede Maßnahme der sie umgebenden Zonen und fügt ihre eigene hinzu.

Standard → Sensibel → Eingeschränkt → Isoliert. Ein Nutzer in der eingeschränkten Zone trägt auch die Maßnahmen für Standard und Sensibel. Die Zonen bilden sich direkt auf die Einstufungsstufen ab: Standard-Informationen liegen in den gewöhnlichen Ordnern 01–04; Sensibel in einem Bereich 05_SENSITIVE mit benanntem Zugriff und MFA; Hochsensibel in einem Bereich 06_RESTRICTED mit Verschlüsselung und Wasserzeichen; Kritisch in einem isolierten, oft Air-Gapped-Raum.

Die Einstellungen verschärfen sich nach innen: MFA wandert von empfohlen zu verpflichtend zu Hardware-Token zu Biometrie; das Sitzungs-Timeout verkürzt sich von 60 Minuten auf 10; Downloads gehen von erlaubt zu protokolliert zu freigabepflichtig zu blockiert; die Audit-Überprüfung geht von vierteljährlich zu Echtzeit. Dieselbe CDE, abgestufte Maßnahmen.

Ebene 2, Prüfung und NDAs (Personal)

Menschen werden im Verhältnis zu dem geprüft, was sie sehen werden, und nur Menschen, die sensible Informationen oder höher berühren. Wer ausschließlich mit Standard-Informationen arbeitet, durchläuft das gewöhnliche Onboarding.

Zugriff wird nie auf einer Stellenbezeichnung gewährt; er wird auf einem berechtigten Need-to-know gewährt, und die Prüftiefe steigt in drei Stufen. Zugriff auf Sensibel verlangt eine Identitätsprüfung, ein unterzeichnetes NDA und eine Schulung zum Sicherheitsbewusstsein. Hochsensibel ergänzt eine Hintergrundprüfung, Referenzen, eine Prüfung des Führungszeugnisses, ein erweitertes NDA und eine geprüfte Gerätesicherheit. Kritisch ergänzt eine behördliche Sicherheitsfreigabe, eine vollständige Überprüfung über zehn Jahre, ein dediziertes verwaltetes Gerät und einen biometrischen Zutritt zur Einrichtung. Jede Person wird überprüft, und der Zugriff wird beim Ausscheiden sauber entzogen, Konten deaktiviert, zwischengespeicherte Daten gelöscht, NDA-Pflichten gelten über den Austritt hinaus.

Ebene 3, der Notfallplan (Reaktion)

Die letzte Ebene nimmt an, dass die ersten beiden eines Tages überwunden werden. Der Notfallplan wird geschrieben, freigegeben und verteilt, bevor die Informationsproduktion beginnt, nicht in der Panik eines tatsächlichen Vorfalls entworfen, und im ersten Monat mit einer Tabletop-Übung erprobt.

Er legt fest, was ein Vorfall ist, wer der Incident Commander ist, wie schnell je nach Schweregrad zu reagieren ist und die fünf Phasen, einen Vorfall zu bewältigen: erkennen und eindämmen, bewerten, benachrichtigen, beheben und lernen. Der Plan, auf den es ankommt, ist der, der schon an der Wand hängt, wenn der Anruf kommt.

VertiefungDie Prüfstufen, das Vorfall-Protokoll und das NDA, das den Menschen nach Hause folgt

Prüfanforderungen nach Stufe

Lesen Sie eine Zeile quer, um zu sehen, wie eine einzelne Anforderung mit der Sensibilität steigt.

AnforderungSensibelHochsensibelKritisch
Identität1 Ausweisdokument2 Ausweisdokumente2 Dokumente + behördliche Freigabe
HintergrundprüfungNicht erforderlich5 Jahre Beschäftigungsverlauf10 Jahre vollständige Überprüfung
FührungszeugnisNicht erforderlichErforderlichErforderlich + finanziell
ReferenzenNicht erforderlich2 beruflicheErweitert
NDAStandardErweitertErweitert + Einwilligung zur Überwachung
UnterweisungAllgemeines BewusstseinSpezifischer UmgangSpionageabwehr
GerätStandardVerschlüsselt, verwaltet, FernlöschungDediziertes verwaltetes Gerät
Physischer ZutrittStandard-BüroStandard-BüroSichere Einrichtung, biometrisch
ZugriffsfreigabeFachbereichsleiter + BIM-ManagerSicherheitsbeauftragter des AuftraggebersLeitender Vertreter des Auftraggebers
ÜberprüfungsintervallBei ProjektendeAlle 6 MonateAlle 3 Monate

Woran das NDA tatsächlich bindet

Die Vertraulichkeitsvereinbarung wird unterzeichnet, bevor der CDE-Zugriff gewährt wird, von jedem, der sensible Informationen oder höher berührt. Sie bindet an acht Pflichten, die man auswendig kennen sollte: Zugriff nur über die autorisierte CDE; niemals herunterladen oder auf privaten Geräten, USB oder privater Cloud zwischenspeichern; Nutzung nur für die Rolle; an niemanden außerhalb der Zugriffsmatrix weitergeben; niemals in der Öffentlichkeit oder über private Messenger besprechen, WhatsApp, Telegram, private E-Mail; jeden Vorfall oder jedes verlorene Gerät unverzüglich dem Incident Commander melden; beim Ausscheiden alles Vorhandene zurückgeben oder dessen Vernichtung bescheinigen; und, die Klausel, die man vergisst, die Pflichten gelten über die Beauftragung hinaus, sie bleiben Jahre in Kraft (unbegrenzt bei Arbeiten zur nationalen Sicherheit) nach dem letzten Zugriff. Ein Verstoß setzt die Person entzogenem Zugriff, Kündigung, zivil- und strafrechtlicher Haftung und einer Meldung an die Aufsicht aus.

Das fünfstufige Vorfall-Protokoll

PhaseZielDie Schritte, auf die es ankommt
1 · Erkennen & eindämmenAusbreitung stoppen, Beweise sichern, erste 60 MinutenDen Incident Commander benachrichtigen; betroffenen Zugriff aussetzen; Systeme isolieren; keine Protokolle, E-Mails oder Dateien löschen; das Vorfallprotokoll beginnen
2 · BewertenUmfang und Schweregrad feststellenWas wurde kompromittiert, in welcher Einstufung, wie, wer hatte Zugriff, wer hat es erhalten; den Zeitverlauf aus den Audit-Protokollen rekonstruieren; Schweregrad zuweisen
3 · BenachrichtigenDie richtigen Stellen in der richtigen Reihenfolge informierenZuerst intern, dann die Aufsichtsbehörden in ihren vorgeschriebenen Fristen, personenbezogene Daten „ohne unangemessene Verzögerung", Verteidigung „unverzüglich", dann die betroffenen Personen
4 · BehebenDie Lücke schließenUrsache bestätigen; beheben; alle Zugangsdaten neu ausstellen; die Zugriffsmatrix korrigieren; bei Bedarf neu einstufen; Zugriff Dritter überprüfen
5 · Dokumentieren & lernenDen nächsten Vorfall unwahrscheinlicher machenVollständiger Vorfallbericht; Lessons-Learned-Workshop; die Triage und den Notfallplan aktualisieren; Teams erneut unterweisen; abschließen und archivieren

Der Schweregrad bestimmt die Uhr und die Eskalation: Niedrig, binnen 24 Stunden, CDE-Administrator und BIM-Manager. Mittel, 4 Stunden, dazu der PM und der Sicherheitsbeauftragte. Hoch, 1 Stunde, Incident Commander, Rechtsabteilung und Meldung an die Aufsicht. Kritisch, unverzüglich, unter Einbeziehung der Verteidigungs- oder Nachrichtenbehörde und der Strafverfolgung.

Die eine Maßnahme, die das Tabletop zum gestohlenen Laptop immer aufdeckt: zwischengespeicherte, unverschlüsselte Projektdaten auf einem privaten Gerät.

Der Wert des Plans liegt nicht in der Reaktion. Er liegt darin, die fehlende Maßnahme zu entdecken, bevor der Laptop weg ist.

Einstufen im Verhältnis. Die meisten Informationen sind Standard; eine Minderheit ist sensibel.

Verfehlen Sie diese Balance in eine der beiden Richtungen, alles abriegeln oder nichts abriegeln, und der sicherheitsorientierte Ansatz ist gescheitert.

Kontinuierlich und verhältnismäßig

Zwei Worte tragen das gesamte 19650-5. Verhältnismäßig: Die Maßnahmen entsprechen dem Schaden, nicht mehr und nicht weniger, sodass das Projekt arbeitsfähig bleibt, während die wirklich sensible Minderheit geschützt bleibt. Kontinuierlich: Die Triage wird an jedem Stage Gate erneut durchgeführt, denn ein Projekt, das beim Konzept wenig sensibel war, kann hochsensibel werden, sobald die Sicherheitsanlagen und die Details der Rechenzentren hinzukommen.

Machen Sie das richtig, und Sicherheit verschwindet im Prozess, ein paar Zonen in der CDE, ein paar NDAs, ein Plan in der Schublade. Machen Sie es falsch, und sie zeigt sich entweder als ein Projekt, an dem niemand arbeiten kann, oder als ein Vorfall, auf den niemand vorbereitet war.

VertiefungDrei Arten, wie der sicherheitsorientierte Ansatz scheitert

Die Triage überspringen. Das häufigste Scheitern, und das teuerste. ISO 19650-5 gilt für jedes Projekt; die Triage ist das, was entscheidet, welche Maßnahmen aktiviert werden. Überspringen Sie sie, haben Sie an dem Tag, an dem ein Vorfall eintritt, keine dokumentierte, belastbare Position und keine Grundlage für die Zugriffsentscheidungen, die Sie die ganze Zeit getroffen haben.

Pauschales Abriegeln. Die Überkorrektur. Alles als sensibel zu behandeln begräbt das Team unter MFA-Abfragen, Download-Sperren und Prüfungen für Dateien, die ohnehin öffentlich sind. Maßnahmen, die nicht zum Schaden passen, werden umgangen, und die Umgehungen sind der eigentliche Vorfall.

Ein Plan, der nie erprobt wurde. Ein Notfallplan, der geschrieben, abgelegt und nie geübt wurde, ist ein Plan, den unter Druck niemand ausführen kann. Das Tabletop im ersten Monat ist keine Formalie; dort finden Sie den Ansprechpartner, der gegangen ist, die Maßnahme, die nie eingerichtet wurde, den Laptop, der nie verschlüsselt wurde, solange es noch günstig zu beheben ist.

Weiterführende Lektüre

Wenn Sie sich nur ein paar Dinge merken, dann diese.

Es gilt für alles. ISO 19650-5 ist kein reiner Verteidigungsstandard. Jedes Projekt führt die Triage durch; was sich unterscheidet, ist, wie viel davon aktiviert wird.

Die Triage ist der erste Schritt. Vor den AIA jede Informationskategorie gegen drei Schäden prüfen. Kein Schaden → normaler Ablauf. Schaden → einstufen und schützen. Das meiste bleibt Standard; eine Minderheit ist sensibel.

Maßnahmen kommen im Verhältnis. Vier Stufen, Standard, Sensibel, Hochsensibel, Kritisch, jede mit einem festgelegten Satz an Zugriffs-, Verschlüsselungs-, Prüf-, Audit-, physischen und Vernichtungsmaßnahmen. Nie pauschal.

Drei Ebenen machen aus einer Einstufung Schutz. CDE-Sicherheitszonen (technisch), Prüfung und NDAs (Personal) und ein vorab geschriebener, erprobter Notfallplan (Reaktion).

Kontinuierlich und verhältnismäßig. An jedem Stage Gate neu triagieren. Maßnahmen dem Schaden anpassen. Sicherheit in den Prozess eingebaut, nicht am Ende aufgesetzt.

Weiter

Das sind die fünf Teile. Hier ist das ganze Bild.

Teil 1 legte das Fundament, Teil 2 führte die Lieferphase, Teil 3 trug sie in den Betrieb, Teil 4 steuerte die Austausche, und Teil 5 schützte das Ganze. ISO 19650 hält zusammen, weil die Teile voneinander abhängen, Anforderungen kaskadieren in die Lieferung, die Lieferung in den Betrieb, alles über die CDE ausgetauscht und durch die Triage geschützt.

Die Hub-Seite führt die fünf in einer einzigen Zusammenfassung für Entscheider zusammen, mit den Diagrammen an einem Ort. Beginnen Sie dort, wenn Sie die Übersicht wollen, oder gehen Sie den nächsten Schritt.

  • Die Zusammenfassung für Entscheider lesen, die fünf Teile auf einer Seite: der ISO-19650-Leitfaden-Hub.
  • Das Developer Pack herunterladen, die 24 Vorlagen, auf denen dieser Leitfaden aufbaut, darunter der Bericht zur Sicherheits-Triage, der Notfallplan und das Personal-NDA. Sequenziert für die auftraggebende Partei: das Pack holen.
  • Mit JES sprechen, 260+ an ISO 19650 ausgerichtete BIM-Fachkräfte in den VAE, Saudi-Arabien, UK, Deutschland und den Niederlanden: ein Beratungsgespräch buchen.

Häufige Fragen zu Teil 5

Es ist die Disziplin, sensible Informationen über die Lebensdauer einer Anlage zu schützen: zu entscheiden, was sensibel ist, wer es sehen darf und was geschieht, wenn etwas schiefgeht. ISO 19650-5 ist kein Aufsatz für Verteidigungsprojekte; er gilt für jedes Projekt. Was sich je Projekt ändert, ist, wie viel davon aktiviert wird, und das wird durch einen einzigen ersten Schritt entschieden, die Sicherheitstriage, durchgeführt bevor die AIA ausgegeben werden. Zwei Worte tragen die gesamte Norm: fortlaufend und angemessen.

Die Triage ist der erste Schritt in ISO 19650-5. Die auftraggebende Partei prüft jede Informationskategorie, die das Projekt erzeugen wird, an einem Test: Könnte eine Kompromittierung Personen, der Organisation oder der nationalen Sicherheit schaden? Die meisten Kategorien fallen mit Nein zurück und fließen unverändert durch die Standard-CDE; eine Minderheit fällt mit Ja zurück und wird klassifiziert. Die Triage wird dokumentiert, in die AIA und den BAP eingearbeitet und an jedem Phasen-Gate erneut durchgeführt, denn was auf einem Projekt sensibel ist, bleibt selten unverändert.

Sensible Informationen werden in vier Stufen eingeteilt, jede mit ihrer eigenen Schadensobergrenze: Standard (vernachlässigbarer Schaden, öffentliche Grundrisse und Marketing-Renderings), Sensibel (begrenzter Schaden, TGA-Layouts und Kostendaten), Hochsensibel (schwerer Schaden, Sicherheitssysteme, Videoüberwachung und Zutrittskontrolle) und Kritisch (könnte Leben oder nationale Sicherheit gefährden, militärische Layouts und Nuklearsteuerungen). Die Stufe legt die Kontrollen im richtigen Verhältnis fest, sodass wirklich sensible Informationen geschützt sind, während Standardinformationen nicht mit Kontrollen belastet werden, die sie nicht brauchen.

Eine Klassifizierung in einem Register schützt für sich genommen nichts; sie wird über drei Ebenen zu Einstellungen, Unterschriften und einem geprüften Plan. Die technische Ebene sind verschachtelte CDE-Sicherheitszonen, Standard über Sensibel über Beschränkt bis Isoliert, die nach innen schärfer werden. Die personelle Ebene sind Überprüfungen und Geheimhaltungsvereinbarungen, gewährt nach einem berechtigten Kenntnisbedarf, nie nach einer Stellenbezeichnung. Die Reaktionsebene ist der Notfallplan für Sicherheitsvorfälle, geschrieben, freigegeben und im Planspiel getestet, bevor die Informationsproduktion beginnt, denn er nimmt an, dass die ersten beiden Ebenen eines Tages überwunden werden.