Diskussion:IT-Grundschutz/Grundschutz-Check
Beispiele: Grundschutz-Check
Beschreibung
Als Beispiel für die Dokumentation des Grundschutz-Checks zeigt der folgende Auszug dieser Überprüfung für die RECPLAST die Ergebnisse für drei Basis-Anforderungen und eine Standard-Anforderung des Bausteins ISMS.1 Sicherheitsmanagement
- Dieser Baustein ist für den gesamten Informationsverbund anzuwenden, im Beispiel also für das gesamte Unternehmen
Eine ausführliche Dokumentation des Grundschutz-Checks zu diesem Baustein und zu weiteren ausgewählten Bausteinen finden Sie in Kapitel 6 des Beispieldokuments
- Dokumentation des Grundschutz-Checks
Anforderung | Verantwortung | Status | Umsetzung |
---|---|---|---|
ISMS.1.A1 | Institutionsleitung | erfüllt | Die Geschäftsführung hat die Erstellung der Leitlinie initiiert
|
ISMS.1.A5 | Institutionsleitung | entbehrlich | Der Informationssicherheitsbeauftragte ist ein Mitarbeiter der RECPLAST |
ISMS.1.A7 | () | teilweise | Alle Mitarbeiter, die Maßnahmen im Sinne der Informationssicherheit umsetzen, sind verpflichtet, diese zu dokumentieren und dem per E-Mail zuzusenden
|
ISMS.1.A11 | () | erfüllt | Alle Dokumente und Prozesse werden einmal jährlich einem internen Audit unterzogen
|
- Bewertung des Status einer Anforderung
Einige Anforderungen aus
- Prozess-Baustein ISMS.1 Sicherheitsmanagement
- System-Baustein SYS.2.1 Allgemeiner Client
Umsetzungsgrad
Umsetzungsgrad |
---|
Vollständig |
Entbehrlich |
Teilweise |
Nicht |
Vollständig
Baustein.1 enthält unter anderem die Basis-Anforderung
- A1: Übernahme der Gesamtverantwortung für Informationssicherheit durch die Leitungsebene
- mit insgesamt sechs durch das Verb MUSS als verpflichtend gekennzeichneten Teilanforderungen
- „Die Leitungsebene MUSS die Gesamtverantwortung für Informationssicherheit in der Institution übernehmen, sodass dies für alle Beteiligten deutlich erkennbar ist
- Die Leitungsebene der Institution MUSS den Sicherheitsprozess initiieren, steuern und kontrollieren
- Die Leitungsebene MUSS Informationssicherheit vorleben.
Die Behörden- bzw. Unternehmensleitung MUSS die Zuständigkeiten für Informationssicherheit festlegen und die zuständigen Mitarbeiter mit den erforderlichen Kompetenzen und Ressourcen ausstatten
- Die Leitungsebene MUSS sich regelmäßig über den Status der Informationssicherheit informieren lassen, insbesondere MUSS sie sich über mögliche Risiken und Konsequenzen aufgrund fehlender Sicherheitsmaßnahmen informieren lassen.“
Entbehrlich
Unter Umständen, etwa bei unzureichendem Know-how innerhalb einer Institution, kann es sich für eine Institution anbieten, Sicherheitsaufgaben an einen externen Informationssicherheitsbeauftragten zu delegieren
- Dies enthebt sie allerdings nicht ihrer grundsätzlichen Verantwortung für Informationssicherheit
- Rechte und Pflichten des externen sind daher vorab festzulegen und vertraglich zu fixieren
- In.1.A5 Vertragsgestaltung bei Bestellung eines externen Informationssicherheitsbeauftragten wird diese Basis-Anforderung näher spezifiziert
- Wird die Rolle des durch einen eigenen Mitarbeiter wahrgenommen, ist die Erfüllung dieser Anforderung selbstverständlich entbehrlich
Teilweise
Der Baustein SYS.2.1 Allgemeiner Client, dessen Anwendung für jede Gruppe von Clients in einem Informationsverbund verbindlich ist, enthält unter anderem die Basis-Anforderung SYS.2.1.A2: Rollentrennung mit Vorgaben für die Beschränkung der Benutzerrechte
Sie lautet wie folgt
- „Der Client MUSS so eingerichtet werden, dass normale Tätigkeiten nicht mit Administrationsrechten erfolgen
- Nur Administratoren DÜRFEN Administrationsrechte erhalten
- Es DÜRFEN nur Administratoren die Systemkonfiguration ändern, Anwendungen installieren bzw. entfernen oder Systemdateien modifizieren bzw. löschen können
- Benutzer DÜRFEN ausschließlich lesenden Zugriff auf Systemdateien haben.
Ablauf, Rahmenbedingungen und Anforderungen an administrative Aufgaben sowie die Aufgabentrennungen zwischen den verschiedenen Rollen der Benutzer des IT-Systems SOLLTEN in einem Benutzer- und Administrationskonzept festgeschrieben werden.“
Wird bei der Überprüfung der Umsetzung dieser Anforderung für eine gegebene Gruppe von Clients festgestellt, dass die Systeme so eingerichtet sind, dass übliche Benutzeraktivitäten nur mit entsprechend eingeschränkten Rechten ausgeübt werden und Systemzugriffe Administratoren vorbehalten sind, so ist zumindest ein Teil der Anforderung erfüllt
- Das Fehlen eines expliziten Benutzer- und Administrationskonzepts, ohne dass hierfür ein stichhaltiger Grund vorliegt, führt jedoch zu der Einstufung, dass diese Anforderung nur teilweise erfüllt ist
Nicht erfüllt
Anforderung SYS.2.1.A2: Rollentrennung des Bausteins SYS.2.1 Allgemeiner Client wäre hingegen nicht erfüllt
- wenn zwar ein solches Konzept vorliegt
- dieses aber die Vorgaben dieser Basis-Anforderung nur bedingt widerspiegelt
- insbesondere die geprüften Clients deutliche Abweichungen von den verpflichtenden Anforderungen aufweisen
Es kann Gründe dafür geben, dass einzelne Systeme auch von Benutzern, die ansonsten keine derartigen Berechtigungen haben, mit Administrationsrechten benutzt werden können
- beispielsweise weil eine benötigte Spezialsoftware ansonsten nicht funktionieren würde
- In diesem Fall müsste das aus der Nichterfüllung dieser Basis-Anforderung resultierende Risiko mit zusätzlichen Maßnahmen begrenzt werden