Diskussion:IT-Grundschutz/Grundschutz-Check

Beispiele: Grundschutz-Check

Beschreibung

Als Beispiel für die Dokumentation des Grundschutz-Checks zeigt der folgende Auszug dieser Überprüfung für die RECPLAST die Ergebnisse für drei Basis-Anforderungen und eine Standard-Anforderung des Bausteins ISMS.1 Sicherheitsmanagement

Dieser Baustein ist für den gesamten Informationsverbund anzuwenden, im Beispiel also für das gesamte Unternehmen

Eine ausführliche Dokumentation des Grundschutz-Checks zu diesem Baustein und zu weiteren ausgewählten Bausteinen finden Sie in Kapitel 6 des Beispieldokuments

Dokumentation des Grundschutz-Checks

Anforderung	Verantwortung	Status	Umsetzung
ISMS.1.A1	Institutionsleitung	erfüllt	Die Geschäftsführung hat die Erstellung der Leitlinie initiiert Die Leitlinie wurde von der Geschäftsführung unterzeichnet Die Geschäftsführung hat die gesamte Verantwortung für das Thema Informationssicherheit übernommen und delegiert an den die Umsetzung der geforderten Maßnahmen Einmal monatlich erhält die Geschäftsführung einen Management-Report, kontrolliert den Umsetzungsstand der Maßnahmen, initiiert bei Bedarf weitere Maßnahmen und bewilligt das entsprechende Budget
ISMS.1.A5	Institutionsleitung	entbehrlich	Der Informationssicherheitsbeauftragte ist ein Mitarbeiter der RECPLAST
ISMS.1.A7	()	teilweise	Alle Mitarbeiter, die Maßnahmen im Sinne der Informationssicherheit umsetzen, sind verpflichtet, diese zu dokumentieren und dem per E-Mail zuzusenden Eine Auswertung und ausreichende Dokumentation der umgesetzten Maßnahmen gibt es nicht Umsetzungszeitpunkt für ausführliche Dokumentation: 30.04
ISMS.1.A11	()	erfüllt	Alle Dokumente und Prozesse werden einmal jährlich einem internen Audit unterzogen Der hat dafür die entsprechende fachliche Weisungsbefugnis für die Mitarbeiter, in deren Verantwortungsbereich einzelne Dokumente und Prozesse fallen

Bewertung des Status einer Anforderung

Einige Anforderungen aus

Prozess-Baustein ISMS.1 Sicherheitsmanagement
System-Baustein SYS.2.1 Allgemeiner Client

Umsetzungsgrad

Umsetzungsgrad
Vollständig
Entbehrlich
Teilweise
Nicht

Vollständig

Baustein.1 enthält unter anderem die Basis-Anforderung

A1: Übernahme der Gesamtverantwortung für Informationssicherheit durch die Leitungsebene

mit insgesamt sechs durch das Verb MUSS als verpflichtend gekennzeichneten Teilanforderungen

„Die Leitungsebene MUSS die Gesamtverantwortung für Informationssicherheit in der Institution übernehmen, sodass dies für alle Beteiligten deutlich erkennbar ist

Die Leitungsebene der Institution MUSS den Sicherheitsprozess initiieren, steuern und kontrollieren
Die Leitungsebene MUSS Informationssicherheit vorleben.

Die Behörden- bzw. Unternehmensleitung MUSS die Zuständigkeiten für Informationssicherheit festlegen und die zuständigen Mitarbeiter mit den erforderlichen Kompetenzen und Ressourcen ausstatten

Die Leitungsebene MUSS sich regelmäßig über den Status der Informationssicherheit informieren lassen, insbesondere MUSS sie sich über mögliche Risiken und Konsequenzen aufgrund fehlender Sicherheitsmaßnahmen informieren lassen.“

Entbehrlich

Unter Umständen, etwa bei unzureichendem Know-how innerhalb einer Institution, kann es sich für eine Institution anbieten, Sicherheitsaufgaben an einen externen Informationssicherheitsbeauftragten zu delegieren

Dies enthebt sie allerdings nicht ihrer grundsätzlichen Verantwortung für Informationssicherheit
Rechte und Pflichten des externen sind daher vorab festzulegen und vertraglich zu fixieren
In.1.A5 Vertragsgestaltung bei Bestellung eines externen Informationssicherheitsbeauftragten wird diese Basis-Anforderung näher spezifiziert
Wird die Rolle des durch einen eigenen Mitarbeiter wahrgenommen, ist die Erfüllung dieser Anforderung selbstverständlich entbehrlich

Teilweise

Der Baustein SYS.2.1 Allgemeiner Client, dessen Anwendung für jede Gruppe von Clients in einem Informationsverbund verbindlich ist, enthält unter anderem die Basis-Anforderung SYS.2.1.A2: Rollentrennung mit Vorgaben für die Beschränkung der Benutzerrechte

Sie lautet wie folgt

„Der Client MUSS so eingerichtet werden, dass normale Tätigkeiten nicht mit Administrationsrechten erfolgen

Nur Administratoren DÜRFEN Administrationsrechte erhalten
Es DÜRFEN nur Administratoren die Systemkonfiguration ändern, Anwendungen installieren bzw. entfernen oder Systemdateien modifizieren bzw. löschen können
Benutzer DÜRFEN ausschließlich lesenden Zugriff auf Systemdateien haben.

Ablauf, Rahmenbedingungen und Anforderungen an administrative Aufgaben sowie die Aufgabentrennungen zwischen den verschiedenen Rollen der Benutzer des IT-Systems SOLLTEN in einem Benutzer- und Administrationskonzept festgeschrieben werden.“

Wird bei der Überprüfung der Umsetzung dieser Anforderung für eine gegebene Gruppe von Clients festgestellt, dass die Systeme so eingerichtet sind, dass übliche Benutzeraktivitäten nur mit entsprechend eingeschränkten Rechten ausgeübt werden und Systemzugriffe Administratoren vorbehalten sind, so ist zumindest ein Teil der Anforderung erfüllt

Das Fehlen eines expliziten Benutzer- und Administrationskonzepts, ohne dass hierfür ein stichhaltiger Grund vorliegt, führt jedoch zu der Einstufung, dass diese Anforderung nur teilweise erfüllt ist

Nicht erfüllt

Anforderung SYS.2.1.A2: Rollentrennung des Bausteins SYS.2.1 Allgemeiner Client wäre hingegen nicht erfüllt

wenn zwar ein solches Konzept vorliegt
dieses aber die Vorgaben dieser Basis-Anforderung nur bedingt widerspiegelt
insbesondere die geprüften Clients deutliche Abweichungen von den verpflichtenden Anforderungen aufweisen

Es kann Gründe dafür geben, dass einzelne Systeme auch von Benutzern, die ansonsten keine derartigen Berechtigungen haben, mit Administrationsrechten benutzt werden können

beispielsweise weil eine benötigte Spezialsoftware ansonsten nicht funktionieren würde
In diesem Fall müsste das aus der Nichterfüllung dieser Basis-Anforderung resultierende Risiko mit zusätzlichen Maßnahmen begrenzt werden