Normen und Standards

BSI-Standards - Kurzbeschreibung

Beschreibung

Version 200

Standard	Titel	Status	Beschreibung
200-1	Managementsysteme für Informationssicherheit	Standard	Informationssicherheitsmanagementsystem
200-2	IT-Grundschutz-Methodik	Standard	Vorgehensweise
200-3	Risikomanagement	Standard	Risikoanalyse
200-4	Business Continuity Management	Standard	Notfallmanagement

Vorgehensweise

Beschreibung

Mit welchen Maßnahmen die in der Leitlinie zur Informationssicherheit vorgegebenen Ziele und Strategien verfolgt werden sollen, wird in einem Sicherheitskonzept beschrieben.

• Ein solches Sicherheitskonzept hat immer einen festgelegten Geltungsbereich.
• Dieser wird in der -Grundschutz-Methodik als Informationsverbund bezeichnet.

Festlegung des Informationsverbundes

Informationsverbund - Ein im IT-Grundschutz betrachteter Bereich

Beschreibung

IT-Sicherheitsanalyse und IT-Sicherheitskonzeption

• Informationstechnik ist durch vernetzte IT-Systeme geprägt

Gesamte IT betrachten

• Nicht einzelne IT-Systeme

Teilverbünde definieren

Teile und Herrsche

• Um diese Aufgabe bewältigen zu können, ist es sinnvoll
• IT-Struktur in logisch getrennte Teile zerlegen
• Jeweils einen Teil (Informationsverbund) getrennt betrachten

Ausprägungen

Informationsverbund

• gesamte IT einer Institution
• einzelne Bereiche

Gliederung

• Organisatorische Strukturen

z. B. Abteilungsnetz

• Gemeinsame IT-Anwendungen

z. B. Personalinformationssystem

IT-Strukturanalyse

• Detaillierte Informationen über die Struktur des Informationsverbundes
• Voraussetzung für die Anwendung des IT-Grundschutz-Kompendiums

Komponenten

Komponente	Beschreibung
Infrastruktur
Organisation
Personen
Technik

Festlegung eines Informationsverbundes

Größe

Sinnvolle Mindestgröße

• Für eine umfassende Sicherheit ist die gesamte Institution zu betrachten

Größeren Institutionen

Insbesondere bei größeren Institutionen und dann, wenn Sicherheitsmaßnahmen bislang eher punktuell und ohne ein zugrunde liegendes systematisches Konzept vorgenommen wurden, ist es allerdings oft praktikabler sich (zunächst) auf Teilbereiche zu konzentrieren.

Teilbereiche

Gut abgrenzbar

• organisatorischen Strukturen
• Anwendungen
• Wesentliche Aufgaben und Geschäftsprozesse der Institution umfassen

Sinnvolle Teilbereiche

• Organisationseinheiten
• Geschäftsprozesse/Fachaufgaben

Einzelne Clients, Server oder Netzverbindungen sind als Untersuchungsgegenstand ungeeignet

Schnittstellen

Bei der Definition des Informationsverbundes müssen Schnittstellen genau beschrieben werden

• Insbesondere bei der Zusammenarbeit mit externer Partnern.

Erstaufnahme des Informationsverbundes

In der initialen Phase des Sicherheitsprozesses ist es nicht erforderlich, Anwendungen und -Infrastruktur detailliert zu beschreiben.

• Zunächst geht es vielmehr darum, besonders wichtige Geschäftsprozesse, die im Geltungsbereich des Konzepts angesiedelt sind, hinsichtlich ihrer Anforderungen an die Informationssicherheit zu charakterisieren.
• Dabei reicht es zu wissen, welche Prozesse sehr hohe, hohe oder lediglich normale Schutzanforderungen haben.

Erstaufnahme des Informationsverbundes

Auf dieser Basis wird dann eine Erstaufnahme des Informationsverbundes angefertigt

Folgende Informationen und Detailangaben müssen dabei strukturiert ( tabellarisch) zusammengetragen werden

• Geschäftsprozesse im Informationsverbund (Name, Beschreibung, fachverantwortliche Stelle),
• Anwendungen in diesen Prozessen (Name und Beschreibungen),
• -Systeme und -Komponenten (Name, Systemplattform und eventuell Aufstellungsort),
• für den Informationsverbund wichtige Räume wie Rechenzentrum oder Serverräume (Art, Raumnummer und Gebäude) sowie
• virtuelle Systeme (entsprechend gekennzeichnet und benannt).

Ein grafischer Netzplan ist eine hilfreiche Ergänzung zur tabellarischen Zusammenstellung der -Systeme

Die ermittelten Komponenten, wie auch der Informationsverbund als Ganzes, sind Zielobjekte des Sicherheitskonzepts

• Bereits vor dessen eigentlicher Entwicklung sollten Sie einschätzen, welches Schutzniveau für die verschiedenen Zielobjekte erforderlich ist, die Sie bei der Erstaufnahme identifiziert haben.

Erstaufnahme des Informationsverbundes

Grundschutz/Informationsverbund#Erstaufnahme_des_Informationsverbundes

Wahl der Vorgehensweise

Bevor diese Ergebnisse detailliert werden, ist eine Entscheidung über die Vorgehensweise erforderlich.

• Die -Grundschutz-Methodik sieht hierfür drei Varianten vor, zwischen denen sich eine Institution abhängig von ihren spezifischen Gegebenheiten entscheiden kann.
• Diese drei Varianten unterscheiden sich in der Breite und Tiefe der umgesetzten Schutzmaßnahmen:
• Die Basis-Absicherung ist für Institutionen interessant, die einen Einstieg in den -Grundschutz suchen und schnell alle relevanten Geschäftsprozesse mit Basismaßnahmen absichern möchten.
• Die Kern-Absicherung lenkt die Sicherheitsmaßnahmen auf die „Kronjuwelen“ einer Institution, also besonders wichtige Geschäftsprozesse und Assets.
• Diese Variante zielt damit auf die vertiefte Absicherung der kritischsten Bereiche ab.
• Die Standard-Absicherung entspricht der empfohlenen -Grundschutz-Vorgehensweise (vgl. früherer BSI-Standard 100-2).
• Sie hat einen umfassenden Schutz für alle Prozesse und Bereiche der Institution als Ziel.

Sowohl die Basis- als auch die Kern-Absicherung können als Einstieg und Grundlage für eine umfassende Absicherung nach -Grundschutz dienen.

In diesem Kurs wird die Vorgehensweise der Standard-Absicherung beschrieben, und dabei, falls sinnvoll, auch auf die beiden anderen Varianten verwiesen.

• Die folgende Abbildung zeigt die zugehörigen Schritte:

Die drei Varianten der -Grundschutz-Methodik werden in den Kapiteln 6, 7 und 8 des -Standards 200-2 detailliert dargestellt.

• Die Basis-Absicherung wird darüber hinaus in einem eigenenLeitfaden zur Basis-Absicherung nach -Grundschutz ausführlich beschrieben.

IT-Grundschutzvorgehensweise

	Arbeitsschitt	Beschreibung
1	Informationsverbund	Geltungsbereich festlegen
2	Absicherung-Varianten	Absicherung
3	Strukturanalyse	Strukturanalyse
3	Schutzbedarf	Schutzbedarf
4	Modellierung	Modellierung
5	IT-Grundschutz-Check	IT-Grundschutz-Check
6	Risikoanalyse	Verbleibende Risiken managen
7	Maßnahmen konsolidieren	Maßnahmen konsolidieren
8	Umsetzung	Umsetzung der Maßnahmen

Kompendium

IT-Grundschutz-Kompendium - Arbeitsinstrument und Nachschlagewerk zur Informationssicherheit

Beschreibung

Sammlung von Dokumenten (Bausteine)

IT-Grundschutz-Bausteine

• Aspekt der Informationssicherheit
• Typische Gefährdungen
• Typische Sicherheitsanforderungen

Schrittweise Einführung eines ISMS

• Praxisnah
• Reduzierter Arbeitsaufwand
• Thematische Schichten
• Unterschiedliche Aspekte

Gegenstand eines Bausteins

Ubergeordnete Themen

• Informationssicherheitsmanagement
• Notfallmanagement

Spezielle technische Systeme

• Üblicherweise in Unternehmen und Behörden im Einsatz, etwa
  • Clients
  • Server
  • mobile Systeme
  • industrielle Steuerungen

Aktualisierung und Erweiterung

• Kontinuierlich
• Berücksichtigung von Anwenderwünschen
• Anpassung an die Entwicklung der zugrunde liegenden Standards
• Anpassung an die Gefährdungslage

Schichten

Schichtenmodell der Grundschutz-Bausteine

• Komplexität reduzieren
• Redundanzen vermeiden
• Zuständigkeiten bündeln
• Einzelaspekte aktualisieren, ohne andere Teile zu beeinflussen

Beschreibung

Kapitel	Beschreibung
Einführung	Vorwort Dankesworte Neues im IT-Grundschutz-Kompendium IT-Grundschutz – Basis für Informationssicherheit
Schichtenmodell und Modellierung
Rollen
Glossar
Elementare Gefährdungen
Bausteine

Bausteine

Prozess-Bausteine

Kürzel	Titel
ISMS	Sicherheitsmanagement
ORP	Organisation und Personal
CON	Konzeption und Vorgehensweise
OPS	Betrieb
DER	Detektion und Reaktion

System-Bausteine

Kürzel	Titel
APP	Anwendungen
SYS	IT-Systeme
IND	Industrielle IT
NET	Netze und Kommunikation
INF	Infrastruktur

Prozess-Bausteine

ISMS

Sicherheitsmanagement

Nummer	Titel
ISMS.1	Sicherheitsmanagement

ORP

Organisation und Personal

Nummer	Titel
ORP.1	Organisation
ORP.2	Personal
ORP.3	Sensibilisierung und Schulung zur Informationssicherheit
ORP.4	Identitäts- und Berechtigungsmanagement
ORP.5	Compliance Management (Anforderungsmanagement)

CON

Konzeption und Vorgehensweise

Nummer	Titel
CON.1	Kryptokonzept
CON.2	Datenschutz
CON.3	Datensicherungskonzept
CON.6	Löschen und Vernichten
CON.7	Informationssicherheit auf Auslandsreisen
CON.8	Software-Entwicklung
CON.9	Informationsaustausch
CON.10	Entwicklung von Webanwendungen
CON.11.1	Geheimschutz VS-NUR FÜR DEN DIENSTGEBRAUCH

OPS

Betrieb

Nummer	Titel
OPS.1.1.1	Allgemeiner Betrieb
OPS.1.1.2	Ordnungsgemäße IT-Administration
OPS.1.1.3	Patch- und Änderungsmanagement
OPS.1.1.4	Schutz vor Schadprogrammen
OPS.1.1.5	Protokollierung
OPS.1.1.6	Software-Tests und -Freigaben
OPS.1.1.7	Systemmanagement
OPS.1.2.2	Archivierung
OPS.1.2.4	Telearbeit
OPS.1.2.5	Fernwartung
OPS.1.2.6	NTP-Zeitsynchronisation
OPS.2.2	Cloud-Nutzung
OPS.2.3	Nutzung von Outsourcing
OPS.3.2	Anbieten von Outsourcing

DER

Detektion und Reaktion

Nummer	Titel
DER.1	Detektion von sicherheitsrelevanten Ereignissen
DER.2.1	Behandlung von Sicherheitsvorfällen
DER.2.2	Vorsorge für die IT-Forensik
DER.2.3	Bereinigung weitreichender Sicherheitsvorfälle
DER.3.1	Audits und Revisionen
DER.3.2	Revision auf Basis des Leitfadens IT-Revision
DER.4	Notfallmanagement

System-Bausteine

APP

Anwendungen

Nummer	Titel
APP.1.1	Office-Produkte
APP.1.2	Webbrowser
APP.1.4	Mobile Anwendung (Apps)
APP.2.1	Allgemeiner Verzeichnisdienst
APP.2.2	Active Directory Domain Services
APP.2.3	OpenLDAP
APP.3.1	Webanwendungen und Webservices
APP.3.2	Webserver
APP.3.3	Fileserver
APP.3.4	Samba
APP.3.6	DNS-Server
APP.4.2	SAP-System
APP.4.3	Relationale Datenbanksysteme
APP.4.4	Kubernetes
APP.4.6	ABAP-Programmierung
APP.5.2	Microsoft Exchange und Outlook
APP.5.3	Allgemeiner E-Mail-Client und -Server
APP.5.4	Unified Communications und Collaboration
APP.6	Allgemeine Software
APP.7	Entwicklung von Individualsoftware

SYS

IT-Systeme

Nummer	Titel
SYS.1.1	Allgemeiner Server
SYS.1.2.2	Windows Server 2012
SYS.1.2.3	Windows Server
SYS.1.3	Server unter Linux und Unix
SYS.1.5	Virtualisierung
SYS.1.6	Containerisierung
SYS.1.7	IBM-Z
SYS.1.8	Speicherlösungen
SYS.1.9	Terminalserver
SYS.2.1	Allgemeiner Client
SYS.2.2.3	Clients unter Windows
SYS.2.3	Clients unter Linux und Unix
SYS.2.4	Clients unter macOS
SYS.2.5	Client-Virtualisierung
SYS.2.6	Virtual Desktop Infrastructure
SYS.3.1	Laptops
SYS.3.2.1	Allgemeine Smartphones und Tablets
SYS.3.2.2	Mobile Device Management
SYS.3.2.3	iOS (for Enterprise)
SYS.3.2.4	Android
SYS.3.3	Mobiltelefon
SYS.4.1	Drucker, Kopierer und Multifunktionsgeräte
SYS.4.3	Eingebettete Systeme
SYS.4.4	Allgemeines IoT-Gerät
SYS.4.5	Wechseldatenträger

IND

Industrielle IT

Nummer	Titel
IND.1	Prozessleit- und Automatisierungstechnik
IND.2.1	Allgemeine -Komponente
IND.2.2	Speicherprogrammierbare Steuerung
IND.2.3	Sensoren und Aktoren
IND.2.4	Maschine
IND.2.7	Safety Instrumented Systems
IND.3.2	Fernwartung im industriellen Umfeld

NET

Netze und Kommunikation

Nummer	Titel
NET.1.1	Netzarchitektur und -design
NET.1.2	Netzmanagement
NET.2.1	WLAN-Betrieb
NET.2.2	WLAN-Nutzung
NET.3.1	Router und Switches
NET.3.2	Firewall
NET.3.3	VPN
NET.3.4	Network Access Control
NET.4.1	TK-Anlagen
NET.4.2	VoIP
NET.4.3	Faxgeräte und Faxserver

INF

Infrastruktur

Nummer	Titel
INF.1	Allgemeines Gebäude
INF.2	Rechenzentrum sowie Serverraum
INF.5	Raum sowie Schrank für technische Infrastruktur
INF.6	Datenträgerarchiv
INF.7	Büroarbeitsplatz
INF.8	Häuslicher Arbeitsplatz
INF.9	Mobiler Arbeitsplatz
INF.10	Besprechungs-, Veranstaltungs- und Schulungsraum
INF.11	Allgemeines Fahrzeug
INF.12	Verkabelung
INF.13	Technisches Gebäudemanagement
INF.14	Gebäudeautomation

Rollen

Kompendium/Rollen

Grundschutz-Check

Grundschutz-Check - Soll-Ist-Vergleich zwischen geforderten und erfüllten Anforderungen

Beschreibung

Soll-Ist-Vergleich

Der Grundschutz-Check ist ein Soll-Ist-Vergleich der Anforderungen an einen Informationsverbund oder eine seiner Komponenten mit den umgesetzten Maßnahmen

• Umgesetzte Sicherheitsmaßnahmen mit den Anforderungen des entwickelten Grundschutz-Modells vergleichen
• Erreichtes Sicherheitsniveau identifizieren
• Verbesserungsmöglichkeiten aufzeigen

Motivation

• Sind Informationen und Informationstechnik hinreichend geschützt?
• Was bleibt zu tun?

Grundlage des Grundschutz-Checks ist das in der Modellierung aufgrund der vorhandenen Zielobjekte und ihres Schutzbedarfs zusammengestellte Grundschutz-Modell des Informationsverbundes

• In diesem Modell ist festgelegt, welche Bausteine und damit Anforderungsbündel für die einzelnen Zielobjekte des Informationsverbundes anzuwenden sind

Anforderungen

• Basisanforderungen
• Standardanforderungen
• Anforderungen für den erhöhten Schutzbedarf

Vorgehensweise

Welche dieser Anforderungen Sie im Grundschutz-Check berücksichtigen, hängt von der Vorgehensweise der IT-Grundschutz-Methodik ab:

• Bei der Vorgehensweise Basis-Absicherung prüfen Sie lediglich die Erfüllung der Basis-Anforderungen
• Bei den Vorgehensweisen Standard-Absicherung und Kern-Absicherung berücksichtigen Sie zusätzlich die Standard-Anforderungen
• Die Anforderungen für den erhöhten Schutzbedarf haben Beispielcharakter und können im Bedarfsfall durch andere Maßnahmen mit starker Schutzwirkung ersetzt oder ergänzt werden
• Sie prüfen diese Anforderungen also nur dann, wenn sie als Ergebnis einer Risikoanalyse in das Grundschutz-Modell aufgenommen wurden, also Bestandteil des Sicherheitskonzepts geworden sind
• siehe Risikoanalyse

Basis für den IT-Grundschutz-Check sind die Anforderungen aus dem IT-Grundschutz-Kompendium

• Aus der Strukturanalyse und der anschließenden Modellierung geht ein Modell des Informationsverbundes hervor, das alle relevanten Objekte mit den zugehörigen Bausteinen des IT-Grundschutz-Kompendiums enthält
• Aufgrund der nun vorliegenden Bausteine wird für jedes Objekt ermittelt, wie hoch der Erfüllungsgrad der in den Bausteinen enthaltenen Anforderungen ist
• Dies geschieht großenteils durch Interviews mit den Verantwortlichen der jeweiligen Bereiche

Der IT-Grundschutz-Check ist somit ein Organisationsinstrument, welches einen gebündelten Überblick über das vorhandene IT-Sicherheitsniveau bietet

• Als Ergebnis liegt ein Katalog vor, in dem für jede relevante Anforderung der Umsetzungsstatus „entbehrlich“, „ja“, „teilweise“ oder „nein“ erfasst ist
• Durch die Identifizierung von nicht oder nur teilweise umgesetzten Maßnahmen werden Verbesserungsmöglichkeiten für die Sicherheit der betrachteten Informationstechnik aufgezeigt

Der IT-Grundschutz-Check gibt Auskunft über die noch fehlenden Maßnahmen (Soll/Ist-Abgleich)

• Daraus folgt, was noch zu tun ist, um das angestrebte Maß an Sicherheit zu erlangen
• Die Grundschutz-Methodik unterscheidet hier die Basis-, Standard- oder Kern-Absicherung
• Die Anforderungen des Kompendiums sind für die jeweilige Absicherungsmethode gekennzeichnet (Basis, Standard und für erhöhten Schutzbedarf)

Für Systeme mit hohem/sehr hohem Schutzbedarf werden mitunter auch auf einer Risikoanalyse basierende [[Informationssicherheits-Konzepte wie nach ISO/IEC 27001 angewandt

Vorarbeiten

Arbeitsschritt	Beschreibung
Grundschutz/Strukturanalyse	Ermittlung der relevanten Zielobjekte des Informationsverbundes
Grundschutz/Schutzbedarfsfeststellung	Festlegung des Schutzbedarfs für die ermittelten Zielobjekte
Grundschutz/Modellierung	Anwendung der Grundschutz-Bausteine auf die Zielobjekte

Damit wurde ein Prüfplan („Grundschutz-Modell“) für den Informationsverbund und dessen Zielobjekte zusammengestellt

Prüfplan anwenden (Grundschutz-Check)

Je Zielobjekt prüfen

• inwieweit relevante Anforderungen erfüllt sind
• durch technische oder organisatorische Maßnahmen

Vorgehen

	Arbeitsschritt
1	Vorbereitungen
2	Durchführung
3	Dokumentation

Vorbereitung

Umsetzungsgrad ermitteln und dokumentieren

Den Umsetzungsgrad der einzelnen Maßnahmen für das jeweilige Zielobjekt ermitteln und dokumentieren Sie beim Grundschutz-Check in Interviews mit den zuständigen Mitarbeitern und Überprüfungen vor Ort, durch Begehung von Serverräumen oder Kontrolle von Konfigurationseinstellungen

Qualität der Ergebnisse

Die Qualität der Ergebnisse der Interviews und Begehungen hängt auch von einer guten Vorbereitung und der Beachtung einiger Regeln bei der Durchführung ab

Kompendium

Zunächst die wichtigste Regel

• Die Informationstechnik ändert sich kontinuierlich, sodass regelmäßig geprüft werden muss, ob die eingeführten Sicherheitsmaßnahmen noch einen angemessenen Schutz bieten
• Deswegen wird das Grundschutz-Kompendium fortlaufend angepasst und um neue Bausteine ergänzt
• Benutzen Sie bitte für den Grundschutz-Check die aktuelle Version des Grundschutz-Kompendiums, da nur diese eine dem Stand der Technik entsprechende Sicherheit unterstützt

Dokumente

• Die vorhandenen Dokumente über sicherheitsrelevante Abläufe, Regelungen und Sachverhalte enthalten bereits viele Informationen, die Ihnen bei der Ermittlung des Erfüllungsgrads der Anforderungen helfen können
• Sichten Sie diese Papiere daher bereits vorab

Ansprechpartner

• Wählen Sie geeignete Ansprechpartner aus
• Klären Sie in diesem Zusammenhang auch, ob externe Stellen hinzuzuziehen sind, Fremdfirmen, an die Teilaufgaben des Informationsverbundes delegiert wurden

Ansprechpartner ergeben sich direkt aus den im genannten Rollen sowie oft aus dem sachlichen Zusammenhang

• So können Mitarbeiter der Personalabteilung oder Benutzerbetreuer gute Ansprechpartner für den Baustein Personal sein
• Während es sich anbietet, für die Systembausteine zu Netzen, -Systemen oder Anwendungen die jeweils zuständigen Administratoren und Anwendungsbetreuer zu befragen

Durchführung

Arbeitsteilung

• Vier Augen und Ohren sehen und hören mehr als zwei
• Führen Sie die Interviews nach Möglichkeit daher nicht alleine durch
• Es empfiehlt sich eine Arbeitsteilung: Einer führt das Gespräch und stellt die Fragen, ein anderer protokolliert die Ergebnisse
• Selbstverständlich sollten Sie bei der Befragung den Inhalt der Anforderungsbeschreibungen sowie die zugehörigen Umsetzungsempfehlungen kennen
• Gegebenenfalls können stichpunktartige Zusammenfassungen zu einzelnen Anforderungen sowie möglichen Maßnahmen, mit denen sie erfüllt werden können, nützlich sein

Chancen nutzen

• Der Grundschutz-Check ist eine Chance, die Informationssicherheit zu verbessern, kein Verhör
• Sorgen Sie für ein entspanntes Klima, sowohl beim Gespräch als auch bei Begehungen und Überprüfungen vor Ort

Dokumentation

Erfüllungsgrad der Grundschutz-Anforderungen dokumentieren

Erfüllungsgrad	Beschreibung
ja	wenn die Anforderung durch geeignete Maßnahmen vollständig, wirksam und angemessen erfüllt wird
teilweise	wenn die Anforderung nur teilweise erfüllt wird
nein	wenn die Anforderung nicht erfüllt wird, geeignete Maßnahmen also größtenteils noch nicht umgesetzt sind
entbehrlich	wenn die Erfüllung einer Anforderung nicht notwendig ist, da den möglichen Gefährdungen mit mindestens gleichwertigen Ersatzmaßnahmen entgegengewirkt wird ( erübrigen sich Passwortregeln, wenn Chipkarten zusätzlich für die Authentisierung eingesetzt werden) oder wenn die Empfehlungen für den betrachteten Einsatzzweck nicht relevant sind (so ist die Anforderung zur Absicherung von Fernwartung nur dann bedeutsam, wenn tatsächlich auch Systeme von entfernten Standorten aus gewartet werden)

Entbehrlich

• Wird die Erfüllung einer Anforderung auf „entbehrlich“ gesetzt, weil Alternativmaßnahmen ergriffen wurden, muss nachgewiesen werden, dass diese Maßnahmen die bestehenden Risiken angemessen minimieren
  • Identifizieren Sie hierfür über die Kreuzreferenztabelle des jeweiligen Bausteins die zugehörigen elementaren Gefährdungen
  • Wurden Alternativmaßnahmen ergriffen, begründen Sie, dass diese das von den relevanten Gefährdungen ausgehende Risiko angemessen verringern
• Generell gilt, dass Risiken aufgrund der Nichterfüllung von Basis-Anforderungen nicht übernommen werden können
• Anforderungen dürfen darüber hinaus nicht quasi automatisch durch pauschale Akzeptanz oder pauschalen Ausschluss einer elementaren Gefährdung als „entbehrlich“ eingestuft werden

Nachvollziehbarkeit

Damit die Ergebnisse des Grundschutz-Checks später und auch von Dritten nachvollzogen und überprüft werden können, ist es wichtig, dass Sie diese sorgfältig dokumentieren

Begründungen

• Vergessen Sie nicht, bei Anforderungen, die Sie als entbehrlich, nur teilweise oder überhaupt nicht erfüllt eingestuft haben, in der Dokumentation Ihre Begründung hierfür anzugeben

Formale Angaben

Zur Dokumentation gehören auch formale Angaben.

Bei jedem Interview angeben

• Zielobjekt
• Datum
• Wer es durchgeführt hat
• Wer befragt wurde

Checklisten

Dokumentation des Grundschutz-Checks mit Hilfsmitteln vereinfachen

• So finden Sie unter den Hilfsmitteln zum Grundschutz entsprechende Checklisten für alle Bausteine (zum Download)

Tool-Unterstützung

Der Grundschutz-Check wird auch durch eine Reihe an Tools unterstützt, die auf die Grundschutz-Methodik zugeschnitten sind

• Bei Verwendung eines solchen Werkzeugs haben Sie den zusätzlichen Vorteil, dass die Daten der Strukturanalyse für die Dokumentation des Grundschutz-Checks konsistent übernommen werden

Sowohl die Formulare in den Hilfsmitteln zum Grundschutz als auch die Masken in den Grundschutz-Werkzeugen bieten Felder an, in die Sie Angaben zur Umsetzung der als fehlend erkannten Maßnahmen eintragen können (Umsetzungsfristen, Verantwortliche, voraussichtliche Kosten)

• Diese Angaben sind für die Realisierungsplanung wichtig
• Beim Grundschutz-Check ist es noch nicht erforderlich, diese Felder auszufüllen

Beispiel

Als Beispiel für die Dokumentation des Grundschutz-Checks zeigt der folgende Auszug dieser Überprüfung für die RECPLAST die Ergebnisse für drei Basis-Anforderungen und eine Standard-Anforderung des Bausteins ISMS.1 Sicherheitsmanagement

• Dieser Baustein ist für den gesamten Informationsverbund anzuwenden, im Beispiel also für das gesamte Unternehmen

Eine ausführliche Dokumentation des Grundschutz-Checks zu diesem Baustein und zu weiteren ausgewählten Bausteinen finden Sie in Kapitel 6 des Beispieldokuments

Dokumentation des Grundschutz-Checks

Anforderung	Verantwortung	Status	Umsetzung
ISMS.1.A1	Institutionsleitung	erfüllt	Die Geschäftsführung hat die Erstellung der Leitlinie initiiert Die Leitlinie wurde von der Geschäftsführung unterzeichnet Die Geschäftsführung hat die gesamte Verantwortung für das Thema Informationssicherheit übernommen und delegiert an den die Umsetzung der geforderten Maßnahmen Einmal monatlich erhält die Geschäftsführung einen Management-Report, kontrolliert den Umsetzungsstand der Maßnahmen, initiiert bei Bedarf weitere Maßnahmen und bewilligt das entsprechende Budget
ISMS.1.A5	Institutionsleitung	entbehrlich	Der Informationssicherheitsbeauftragte ist ein Mitarbeiter der RECPLAST
ISMS.1.A7	()	teilweise	Alle Mitarbeiter, die Maßnahmen im Sinne der Informationssicherheit umsetzen, sind verpflichtet, diese zu dokumentieren und dem per E-Mail zuzusenden Eine Auswertung und ausreichende Dokumentation der umgesetzten Maßnahmen gibt es nicht Umsetzungszeitpunkt für ausführliche Dokumentation: 30.04
ISMS.1.A11	()	erfüllt	Alle Dokumente und Prozesse werden einmal jährlich einem internen Audit unterzogen Der hat dafür die entsprechende fachliche Weisungsbefugnis für die Mitarbeiter, in deren Verantwortungsbereich einzelne Dokumente und Prozesse fallen

Beispiel

Bewertung des Status einer Anforderung

Einige Anforderungen aus

• Prozess-Baustein ISMS.1 Sicherheitsmanagement
• System-Baustein SYS.2.1 Allgemeiner Client

Umsetzungsgrad

Umsetzungsgrad
Vollständig
Entbehrlich
Teilweise
Nicht

Vollständig

Baustein.1 enthält unter anderem die Basis-Anforderung

A1: Übernahme der Gesamtverantwortung für Informationssicherheit durch die Leitungsebene

mit insgesamt sechs durch das Verb MUSS als verpflichtend gekennzeichneten Teilanforderungen

„Die Leitungsebene MUSS die Gesamtverantwortung für Informationssicherheit in der Institution übernehmen, sodass dies für alle Beteiligten deutlich erkennbar ist

• Die Leitungsebene der Institution MUSS den Sicherheitsprozess initiieren, steuern und kontrollieren
• Die Leitungsebene MUSS Informationssicherheit vorleben.

Die Behörden- bzw. Unternehmensleitung MUSS die Zuständigkeiten für Informationssicherheit festlegen und die zuständigen Mitarbeiter mit den erforderlichen Kompetenzen und Ressourcen ausstatten

• Die Leitungsebene MUSS sich regelmäßig über den Status der Informationssicherheit informieren lassen, insbesondere MUSS sie sich über mögliche Risiken und Konsequenzen aufgrund fehlender Sicherheitsmaßnahmen informieren lassen.“

Entbehrlich

Unter Umständen, etwa bei unzureichendem Know-how innerhalb einer Institution, kann es sich für eine Institution anbieten, Sicherheitsaufgaben an einen externen Informationssicherheitsbeauftragten zu delegieren

• Dies enthebt sie allerdings nicht ihrer grundsätzlichen Verantwortung für Informationssicherheit
• Rechte und Pflichten des externen sind daher vorab festzulegen und vertraglich zu fixieren
• In.1.A5 Vertragsgestaltung bei Bestellung eines externen Informationssicherheitsbeauftragten wird diese Basis-Anforderung näher spezifiziert
• Wird die Rolle des durch einen eigenen Mitarbeiter wahrgenommen, ist die Erfüllung dieser Anforderung selbstverständlich entbehrlich

Teilweise

Der Baustein SYS.2.1 Allgemeiner Client, dessen Anwendung für jede Gruppe von Clients in einem Informationsverbund verbindlich ist, enthält unter anderem die Basis-Anforderung SYS.2.1.A2: Rollentrennung mit Vorgaben für die Beschränkung der Benutzerrechte

Sie lautet wie folgt

„Der Client MUSS so eingerichtet werden, dass normale Tätigkeiten nicht mit Administrationsrechten erfolgen

• Nur Administratoren DÜRFEN Administrationsrechte erhalten
• Es DÜRFEN nur Administratoren die Systemkonfiguration ändern, Anwendungen installieren bzw. entfernen oder Systemdateien modifizieren bzw. löschen können
• Benutzer DÜRFEN ausschließlich lesenden Zugriff auf Systemdateien haben.

Ablauf, Rahmenbedingungen und Anforderungen an administrative Aufgaben sowie die Aufgabentrennungen zwischen den verschiedenen Rollen der Benutzer des IT-Systems SOLLTEN in einem Benutzer- und Administrationskonzept festgeschrieben werden.“

Wird bei der Überprüfung der Umsetzung dieser Anforderung für eine gegebene Gruppe von Clients festgestellt, dass die Systeme so eingerichtet sind, dass übliche Benutzeraktivitäten nur mit entsprechend eingeschränkten Rechten ausgeübt werden und Systemzugriffe Administratoren vorbehalten sind, so ist zumindest ein Teil der Anforderung erfüllt

• Das Fehlen eines expliziten Benutzer- und Administrationskonzepts, ohne dass hierfür ein stichhaltiger Grund vorliegt, führt jedoch zu der Einstufung, dass diese Anforderung nur teilweise erfüllt ist

Nicht erfüllt

Die Anforderung SYS.2.1.A2: Rollentrennung des Bausteins SYS.2.1 Allgemeiner Client wäre hingegen nicht erfüllt, wenn zwar ein solches Konzept vorliegt, dieses aber die Vorgaben dieser Basis-Anforderung nur bedingt widerspiegelt, und insbesondere die geprüften Clients deutliche Abweichungen von den verpflichtenden Anforderungen aufweisen

Es kann Gründe dafür geben, dass einzelne Systeme auch von Benutzern, die ansonsten keine derartigen Berechtigungen haben, mit Administrationsrechten benutzt werden können, beispielsweise weil eine benötigte Spezialsoftware ansonsten nicht funktionieren würde

• In diesem Fall müsste das aus der Nichterfüllung dieser Basis-Anforderung resultierende Risiko mit zusätzlichen Maßnahmen begrenzt werden

Risikomanagement

BSI-Standard 200-3 - Risikoanalyse auf der Basis von IT-Grundschutz

Einleitung

BSI-/200-3/Einleitung

Vorarbeiten

BSI-/200-3/Vorarbeiten

Elementaren Gefährdungen

BSI-/200-3/Elementaren Gefährdungen

Gefährdungsübersicht

BSI-/200-3/Gefährdungsübersicht

Risikoeinstufung

BSI-/200-3/Risikoeinstufung

Risikobehandlung

BSI-/200-3/Risikobehandlung

Konsolidierung

BSI-/200-3/Konsolidierung

Rückführung

BSI-/200-3/Rückführung

Anhang

BSI-/200-3/Anhang

Aufrechterhaltung und Verbesserung

IT-Grundschutz Verbesserungsprozess - Aufrechterhaltung und Verbesserung

Beschreibung

Verfahren	Beschreibung
Informationssicherheitsprozess
Überprüfung der Umsetzung
Sicherheitsrevision
Aktualität von Sicherheitszielen
Übernahme der Ergebnisse in den Informationssicherheitsprozess
Informationsfluss
IT-Grundschutz-Zertifizierung
Effizienz und Effektivität der Vorkehrungen

Informationssicherheit prüfen

• Abarbeitung einfacher Checklisten
• Punktuelle Prüfung der Netzsicherheit mittels Penetrationstests
• Umfassenden Prüfung
  • Angemessenheit und Wirksamkeit
  • der Umgesetzten
  • technischen und organisatorischen Schutzmaßnahmen

Regelmäßigen Intervalle

• Grundsätzlich gilt, dass umfassende Prüfungen in regelmäßigen Intervallen (jährlich bis maximal drei Jahre) durchgeführt werden sollten.
• Aber auch fallweise Prüfungen sind zweckmäßig, beispielsweise bei der Änderung von Geschäftsprozessen und insbesondere nach Sicherheitsvorfällen.

Sicherheitsvorfälle

Sicherheitsvorfälle sollten immer ein Anlass sein, die Sicherheitskonzeption zu hinterfragen.

• Dies sollte offen und sorgfältig geschehen, um Schwachstellen, die einen Vorfall begünstigt haben, identifizieren und beseitigen zu können.

Zweckmäßige Verfahren

Zwei zweckmäßige Verfahren, mit den Sie Ihr Sicherheitskonzept und das erreichte Schutzniveau prüfen können, sind die -Revision und der Cyber-Sicherheits-Check:

• Mit einer Informationssicherheitsrevision (-Revision) können Sie nach einem festgelegten Verfahren und von kompetenten Revisoren überprüfen lassen, ob das Sicherheitskonzept Ihrer Institution wie beabsichtigt umgesetzt ist und es nach wie vor den aktuellen Anforderungen gerecht wird.
• Die -Revision liefert sowohl den Verantwortlichen für Informationssicherheit als auch der Leitung einer Institution belastbare Informationen über den aktuellen Zustand der Informationssicherheit.

Kurz-, Querschnitts- und Partialrevision

• Neben einer umfassenden Prüfung, die auf die vollständige und vertiefte Überprüfung der Informationssicherheit in einer Institution abhebt, gibt es mit der Kurz-, Querschnitts- und Partialrevision Varianten, bei denen Tiefe und Umfang der Prüfung begrenzt sind.

Cyber-Sicherheits-Check

Wenn Sie noch wenig Erfahrung mit diesem Thema haben, kann der Cyber-Sicherheits-Check eine wichtige Hilfe bei der Überprüfung des Sicherheitsniveaus Ihrer Institution sein.

• Er gibt ihnen Hinweise zur Anfälligkeit gegen Cyberangriffe und ist so angelegt, dass die regelmäßige Durchführung das Risiko verringert, zum Opfer solcher Angriffe zu werden.

Vorgehensmodell IT-Revision

Für die Durchführung der IT-Revision hat das BSI ein eigenes Vorgehensmodell entwickelt, das im Leitfaden -Revision beschrieben ist.

• Dort erfahren Sie auch mehr zu Prüfumfang und -tiefe sowie Einsatzzweck der unterschiedlichen Varianten des Verfahrens.

Geschäftsprozess

• Name
• Prozess-Owner
• Trigger

Vorarbeiten

Realisierungsplan enthält Maßnahmen des Sicherheitskonzepts

• Bis wann werden Maßnahmen von wem wie umgesetzt
• Erforderliche Ressourcen
• Zwischentermine
• Begleitende Maßnahmen

Regelmäßige Kontrollen

• Sicherstellen, dass alles wie geplant umgesetzt ist und funktioniert

Stetiger Prozess

Informationssicherheit ist kein einmalig herzustellender und anschließend stabiler Zustand, sondern ein stetiger Prozess, der immer wieder an sich wandelnde und neue Herausforderungen angepasst werden muss.

Angemessenheit und Wirksamkeit der technischen und organisatorischen Maßnahmen für Informationssicherheit in Ihrer Institution kontinuierlich überwachen und verbessern

• Umsetzungsstand der im Sicherheitskonzept vorgesehenen Maßnahmen prüfen
• Vorgehen bei der Überprüfung der Wirksamkeit von Maßnahmen
• Erkenntnisse der Prüfungen in Maßnahmen zur Verbesserung Ihres Informationssicherheitsmanagements überführen
• Kennzahlen können bei der Bewertung einzelner Aspekte der Informationssicherheit helfen
• Reifegradmodell nutzen
• Sicherheitsniveau nachweisen (27001-Zertifikat auf Basis von IT-Grundschutz)

Leitfragen

Leitfragen für die Überprüfung

Um sicherzustellen, dass die Maßnahmen des Sicherheitskonzepts immer den Anforderungen entsprechen, müssen sie kontinuierlich überprüft werden.

Überprüfungen sollten sich an folgenden Leitfragen orientieren

Frage	Beschreibung
Welche Ziele der Informationssicherheit sind aktuell vordringlich?	Die Bedeutung von Sicherheitszielen kann sich im Zeitablauf verändern So kann es wichtiger werden, die Vertraulichkeit von Informationen zu schützen, wenn sich gesetzliche Rahmenbedingungen ändern oder aber die Institution mit Daten arbeitet, die dies verstärkt erfordern. Alle Maßnahmen zur Erhaltung der Vertraulichkeit müssen daher besonders sorgfältig geprüft werden. Eine weitere wichtige Frage ist, ob die gewählten Sicherheitsmaßnahmen noch der Gefährdungslage entsprechen. Auch ist zu prüfen, ob neue technische Verfahren einen effizienteren und wirksameren Schutz bieten können.
Wer ist verantwortlich für die Überwachung des Informationssicherheitsprozesses?	Häufig ist die Institution so komplex, dass der nicht alle Überprüfungen leiten und durchführen kann. Dann ist es wichtig, dass für verschiedene Bereiche Personen benannt sind, die diese Maßnahmen konzipieren, umsetzen, Ergebnisse dokumentieren sowie Verbesserungen planen und steuern. Bei einer solchen verteilten Verantwortung ist eine gute Zusammenarbeit mit dem wichtig, der über alle Schritte informiert werden muss.
Wie häufig sind die Verfahren zu überprüfen?	Für weniger wichtige Schutzmechanismen kann eine Überprüfung seltener erfolgen als für kritische Prozesse. Mindestens einmal pro Jahr muss das Sicherheitskonzept darauf überprüft werden, ob es noch effektiv ist, also den Zielen der Informationssicherheit im Unternehmen oder der Behörde entspricht. Wenn es einen Sicherheitsvorfall gegeben hat, sollte dies Anlass für eine zusätzliche Prüfung sein.

Umsetzungshinweise

ISMS.1.M11: Aufrechterhaltung der Informationssicherheit

• Empfehlungen zur Vorgehensweise bei der Überprüfung des Sicherheitsprozesses

Informationssicherheitsprozess

Überprüfung des Informationssicherheitsprozesses ist unabdingbar

• Fehler und Schwachstellen erkennen und abstellen
• Effizienz des IS-Prozesses optimieren

Verbesserung der Praxistauglichkeit

• Strategie
• Maßnahmen
• Organisatorische Abläufe

Methoden zur Überprüfung

Zur Effizienzprüfung und Verbesserung sollten Verfahren und Mechanismen eingerichtet werden

• Realisierung der beschlossenen Maßnahmen prüfen
• deren Wirksamkeit und Effizienz überprüfen

Informationssicherheitsstrategie sollte Leitaussagen zur Messung der Zielerreichung machen

Grundlagen für Messungen

• Detektion, Dokumentation und Auswertung von Sicherheitsvorfällen
• Durchführung von Übungen und Tests zur Simulation von Sicherheitsvorfällen
  • Auswertung der Ergebnisse
• interne und externe Audits, Datenschutzkontrollen
• Zertifizierung nach festgelegten Sicherheitskriterien

Internen Audits zur Erfolgskontrolle der umgesetzten Maßnahmen

• nicht durch denjenigen durchführen, der die Sicherheitskonzeption entwickelt hat
• Externe Experten mit der Durchführung solcher Prüfungsaktivitäten beauftragen

Aufwand von Audits

• hängt von der Komplexität und Größe des Informationsverbunds ab
• Anforderungen auch für kleine Institutionen geeignet

Kleinen Einrichtungen

In kleinen Institutionen eventuell ausreichend

• Jährlicher technischer Check von IT-Systemen
• Vorhandene Dokumentationen auf Aktualität prüfen
• Probleme und Erfahrungen mit dem Sicherheitskonzept in Workshop besprechen

Überprüfung der Umsetzung

Realisierungsplan prüfen

• Aufgabenliste und zeitliche Planung
• Ob und inwieweit dieser eingehalten wurde

Angemessene Ressourcenplanung

• Voraussetzung für die Einhaltung geplanter Sicherheitsmaßnahmen
• Wurden ausreichende finanzielle und personelle Ressourcen zur Verfügung gestellt?

Die Überprüfung dient auch

• Rechtzeitiger Wahrnehmung von Planungsfehlern
• Anpassung der Sicherheitsstrategie, wenn sich diese als unrealistisch erweist

Benutzer-Akzeptanz

Nach Einführung neuer Sicherheitsmaßnahmen

Akzeptanz bei Nutzern prüfen

• Werden neuen Maßnahmen nicht akzeptiert, ist ein Misserfolg vorprogrammiert

• Ursachen herauszuarbeiten und abstellen

• Oft reicht eine zusätzliche Aufklärung der Betroffenen

• Alternativen prüfen

Sicherheitsrevision

Revision der Informationssicherheit anhand der IT-Grundschutz-Sicherheitsmaßnahmen

• Gleiche Vorgehensweise wie beim Basis-Sicherheitscheck

Arbeitsökonomisch

Angepasste Checkliste erstellen

• für jeden Baustein der IT-Grundschutz-Kataloge
• anhand der Maßnahmentexte
• erleichtert die Revision
• verbessert die Reproduzierbarkeit der Ergebnisse

Aktualität von Sicherheitszielen

Rahmenbedingungen und Sicherheitskonzeption

In längeren Perspektiven prüfen

• gesetzte Sicherheitsziele
• Rahmenbedingungen

Anpassung der Sicherheitsleitlinie und der Sicherheitsstrategie

• in schnelllebigen Branchen von elementarer Bedeutung
• Betriebliche Änderungen schon bei ihrer Planungsphase in die Sicherheitskonzeption einbeziehen
• Einsatz neuer IT-Systeme
• Umzug
• organisatorische Änderungen (z. B. Outsourcing)
• Änderungen gesetzlicher Anforderungen

Nach jeder relevanten Änderung aktualisieren

• Sicherheitskonzeption
• dazugehörigen Dokumentation

Im Änderungsprozess der Institution berücksichtigen

• Informationssicherheitsprozess in das Änderungsmanagement der Institution integrieren

Wirtschaftlichkeitsbetrachtung

Wirtschaftlichkeit sollte unter konstanter Beobachtung bleiben

• Sicherheitsstrategie
• spezifische Sicherheitsmaßnahmen

Kosten für Informationssicherheit sind schwer zu ermitteln

• oft hilfreich, für die weitere Planung: Prüfen, ob
  • tatsächlich angefallene Kosten den geplanten entsprechen
  • ressourcenschonendere Sicherheitsmaßnahmen eingesetzt werden können

Nutzen herausarbeiten

Ebenso wichtig: Regelmäßig den Nutzen der vorhandenen Sicherheitsmaßnahmen herausarbeiten

Rückmeldungen

Rückmeldungen von Internen und Externen

Rückmeldungen über Fehler und Schwachstellen in den Prozessen

• Informationssicherheitsorganisation
• Revision

auch von

• Mitarbeitern
• Geschäftspartnern
• Kunden oder Partnern

Wirksame Vorgehensweise festlegen

• Beschwerden und anderen Rückmeldungen von Internen und Externen verwerten

Beschwerden

• von Kunden oder Mitarbeitern können dabei ein Indikator für Unzufriedenheit sein

Bereits entstehender Unzufriedenheit entgegenwirken!

• bei unzufriedenen Mitarbeitern/Kunden
• Gefahr von Handlungen die den Betrieb stören können
  • fahrlässig
  • vorsätzlich

Rückmeldungen von Internen und Externen

Umgang mit Beschwerden

• klar definiertes Verfahren
• eindeutig festgelegte Kompetenzen
• für den Umgang mit Beschwerden und für die Rückmeldung von Problemen an die zuständige Instanz

Beschwerden schnellstmöglich beantworten

• damit die Hinweisgeber sich ernst genommen fühlen

Gemeldeten Probleme bewerten

• Handlungsbedarf eingeschätzten
• angemessene Korrekturmaßnahmen zur Beseitigung der Ursachen von Fehlern ergreifen
• erneutes Auftreten verhindern

Informationsfluss

Informationsfluss im Informationssicherheitsprozess

Im Rahmen der Überprüfung und Verbesserung entstehen

• Berichte
• Audit-Reports
• Ergebnisse von Sicherheitstests
• Meldungen über sicherheitsrelevante Ereignisse
• weitere Dokumente zur Informationssicherheit

Dokumente müssen

• aussagekräftig
• für die jeweilige Zielgruppe verständlich sein

Nicht alle Informationen sind für die Leitungsebene geeignet

• es ist eine Aufgabe des IT-Sicherheitsmanagements, diese Informationen
  • zu sammeln
  • zu verarbeiten
  • kurz und übersichtlich aufzubereiten

Berichte

Berichte an die Leitungsebene

Leitung benötigt Eckpunkte über den Stand der Informationssicherheit

• richtige Entscheidungen bei der Steuerung und Lenkung des Informationssicherheitsprozesses Eckpunkte in Management-Berichten aufbereiten
• Ergebnisse von Audits und Datenschutzkontrollen
• Berichte über Sicherheitsvorfälle
• Berichte über bisherige Erfolge und Probleme beim Informationssicherheitsprozess IS-Organisation informiert Leitungsebene regelmäßig in angemessener Form
• Ergebnisse der Überprüfungen
• Status des IS-Prozesses
• Probleme
• Erfolge
• Verbesserungsmöglichkeiten

Leitungsebene nimmt Management-Berichte zur Kenntnis und veranlasst notwendige Maßnahmen

Berichte an die Leitungsebene

Dokumentation im Informationssicherheitsprozess

Dokumentation im Informationssicherheitsprozess

Entscheidend für Erfolg

Dokumentation des IS-Prozesses auf allen Ebenen

Nur durch ausreichende Dokumentation

• werden getroffene Entscheidungen nachvollziehbar
• sind Prozesse wiederholbar und standardisierbar
• können Schwächen und Fehler erkannt und zukünftig vermieden werden

Abhängig vom Gegenstand und vom Verwendungszweck der Dokumentation

• Technische Dokumentation und Dokumentation von Arbeitsabläufen
• Anleitungen für Mitarbeiter
• Aufzeichnung von Management-Entscheidungen
• Gesetze und Regelungen

Technische Dokumentation Arbeitsabläufen

Zielgruppe

Experten

Aktuellen Stand beschreiben

• Geschäftsprozessen
• damit verbundener IT-Systeme und Anwendungen

Detaillierungsgrad technischer Dokumentationen

• andere Personen mit vergleichbarer Expertise sollen die Dokumentation nachvollziehen können
• Ein Administrator soll zwar auf sein Wissen, aber nicht auf sein Gedächtnis angewiesen sein, um die Systeme und Anwendungen wiederherzustellen

Dazu gehörten z.B.

• Installations- und Konfigurationsanleitungen
• Anleitungen für den Wiederanlauf nach einem Sicherheitsvorfall
• Dokumentation von Test- und Freigabeverfahren
• Anweisungen für das Verhalten bei Störungen und Sicherheitsvorfällen

Bei Sicherheitsübungen und bei Behandlung von Sicherheitsvorfällen

• Qualität der vorhandenen Dokumentationen bewerten
• gewonnene Erkenntnisse zur Verbesserung nutzen

Anleitungen für Mitarbeiter

Zielgruppe: Mitarbeiter

Sicherheitsmaßnahmen in Form von Richtlinien dokumentieren

• für die Mitarbeiter verständlich

Mitarbeiter müssen informiert und geschult sein

• Existenz und Bedeutung dieser Richtlinien

Dazu gehört

• Arbeitsabläufe und organisatorische Vorgaben
• Richtlinien zur Nutzung des Internets
• Verhalten bei Sicherheitsvorfällen

Entscheidungen aufzeichnen

• Informationssicherheitsprozess
• Sicherheitsstrategie
• jederzeit verfügbar
• nachvollziehbar
• wiederholbar

Gesetze und Regelungen

Zielgruppe: Leitungsebene

Für Informationsverarbeitung sind viele unterschiedliche relevant

• Gesetze
• Regelungen
• Anweisungen
• Verträge

Besondere Anforderungen sollten dokumentiert werden

• welche konkreten Konsequenzen ergeben sich daraus
  • Geschäftsprozesse
  • IT-Betrieb
  • Informationssicherheit

Aktuellen Stand der Dokumentationen sicherstellen

• Dafür muss die Dokumentation in den Änderungsprozess einbezogen werden

Informationsfluss und Meldewege

Richtlinie zum Informationsfluss und Meldewegen

Grundsätzliche Festlegungen

• Hol- und Bringschuld

Kommunikationsplan

• Wer? Wem? Was? Wann? Bis wann? Form? Feedback bis?
• von der Leitungsebene verabschieden lassen

Aktualisierung der Meldewege

• Festlegungen für den Informationsfluss
• Zeitnahe Aktualisierung von elementarer Bedeutung für die Aufrechterhaltung des Informationssicherheitsprozesses Verbesserung des Informationsflusses
• Ergebnisse aus Übungen, Tests und Audits sind nützliche Grundlage für die Verbesserung des Informationsflusses

Synergieeffekten für den Informationsfluss

Oft sind bereits Prozesse für den IT-Support definiert Synergieeffekte nutzen

Meldewege für IT-Sicherheitsvorfälle können in den IT-Support integriert werden

• Kapazitätsplanung um Aspekte der Notfallvorsorge erweitert werden
• Viele Informationen, die aus Sicherheitsgründen erhoben werden, können auch zu anderen Zwecken genutzt werden Sicherheitsmaßnahmen haben positive Nebeneffekte
• besonders Optimierung von Prozessen ist für viele Bereiche relevant
  • Bestimmung von Informationseigentümern
  • Einstufung von Informationen nach einheitlichen Bewertungskriterien Überblick über die Abhängigkeit
• der Geschäftsprozesse von IT-Systemen und Anwendungen
• ist nicht nur für das Sicherheitsmanagement sinnvoll
• exakte Zuordnung von IT-Kosten, auf einzelne Geschäftsprozesse

IT-Grundschutz-Zertifizierung

Grundschutz/Zertifizierung

IT-Grundschutz-Profile

IT-Grundschutz-Profile - Schablonen für die Informationssicherheit

Beschreibung

Definition

Ein IT-Grundschutz-Profil ist eine Schablone für ein ausgewähltes Szenario (Informationsverbund oder Geschäftsprozess), mit dem ein konkretes Beispiel für die Umsetzung der IT-Grundschutz-Vorgehensweise Schritt für Schritt exemplarisch durchgeführt wird.

Ziel

Ziel ist es, dass Gremien oder Gruppen einer Branche für ihr spezifisches Anwendungsfeld spezifische Anforderungen und passende Sicherheitsempfehlungen definieren, um ihren Mitgliedern die Möglichkeit zu geben, dies als Rahmen für ihr firmenspezifisches Sicherheitskonzept zu adaptieren.

Anwenderspezifische Empfehlungen

• Individuelle Anpassungen des IT-Grundschutzes an die jeweiligen Bedürfnisse
• Berücksichtigt Möglichkeiten und Risiken der Institution
• Profile beziehen sich auf typische IT-Szenarien
• Profile werden durch Dritte (Verbände, Branchen, ...) erstellt, nicht durch das BSI

Keine BSI-Vorgabe

• Diskussion: Nachweis für Umsetzung (z. B. Testat)
• Anerkennung ausgewählter Profile durch BSI

Anwendung bzw. Nutzungsmöglichkeit veröffentlichter Profile

Aufbau

Inhalt	Beschreibung
Formale Aspekte
Management Summary
Geltungsbereich
Referenzarchitektur
Umsetzungshinweise
Anwendungshinweise

Formale Aspekte

• Titel
• Autor
• Verantwortlich
• Registrierungsnummer
• Versionsstand
• Revisionszyklus
• Vertraulichkeit
• Status der Anerkennung durch das BSI

Management Summary

• Kurzzusammenfassung der Zielgruppe
• Zielsetzung und Inhalte des IT-Grundschutz-Profils

Geltungsbereich

• Zielgruppe
• Angestrebter Schutzbedarf
• Zugrundeliegende IT-Grundschutz-Vorgehensweise
• ISO 27001-Kompatibilität
• Rahmenbedingungen
• Abgrenzung
• Bestandteile des IT-Grundschutz-Profils
• Nicht im IT-Grundschutz-Profil berücksichtigte Aspekte
• Verweise auf andere IT-Grundschutz-Profile

Referenzarchitektur

• Abgrenzung Teilinformationsverbund vom Gesamtinformationsverbund
• Informationsverbund mit
• Prozessen,
• Infrastruktur
• Netz-Komponenten
• IT-Systemen
• Anwendungen
• Textuell und grafisch mit eindeutigen Bezeichnungen
• Wenn möglich, Gruppenbildung
• Umgang bei Abweichungen zur Referenzarchitektur.

Umsetzungshinweise

Umzusetzende Anforderungen und Maßnahmen

• Zuordnung von Prozess- und System-Bausteinen auf Untersuchungsgegenstand.

Umsetzungsvorgabe

• „Auf geeignete Weise“
• „Durch Umsetzung der zugehörigen Maßnahmen der Umsetzungshinweise“
• „Durch Umsetzung von [...]“

Auswahl der umzusetzenden Anforderungen eines Bausteins

• Verzicht auf (einzelne) Standardanforderungen
• Verbindliche Erfüllung von Anforderungen für erhöhten Schutzbedarf

Zusätzliche Anforderungen

• Verbindliche Vorgabe einer Maßnahme zur Erfüllung einer Anforderung
• Bedingte Einschränkung für Umsetzung eines Bausteins / einer Anforderung
• [...]

Anwendungshinweise

Zusätzliche Informationen zur Anwendung und Integration in das Gesamtsicherheitskonzept

Risikobehandlung

• Nennung von zusätzlichen Risiken mit Behandlungsempfehlungen.

Unterstützende Informationen

• Hinweise, wo vertiefende Informationen zu finden sind

Anhang

• Glossar
• Zusätzliche Bausteine
• ...

Grundschutz/Audit

Planung und Vorbereitung

Rollen und Verantwortlichkeiten

Unabhängigkeit

Auditplan

Checklisten

Kombination von Audits

Synergieeffekte

Auditprozess-Aktivitäten

Zusammenstellung eines Team

Dokumente vorbereiten

Planung des Vor-Ort-Audits

Umgang mit Nichtkonformitäten

Berichtswesen

Inhalt und Aufbau eines Berichtes

Genehmigung und Verteilung

Aufbewahrung und Vertraulichkeit

Folgemaßnahmen

Vor-Audit

Wiederholungsaudit

Überwachung

Korrekturmaßnahmen

Notfallmanagement

Business Continuity Management (BCM) - Betriebskontinuitätsmanagement (BKM)

Beschreibung

• Sicherstellung des Fortbestands einer Einrichtung
• Fokus auf Risiken mit hohem Schadensausmaß

Strategien, Plänen und Handlungen

• Tätigkeiten oder Prozesse ermitteln
  • deren Unterbrechung
  • ernsthafte Schäden oder vernichtende Verluste zufügen würden
  • etwa Betriebsstörungen
• Schützen und alternative Abläufe ermöglichen

BSI-Standard 200-4

• Business Continuity Management - BCM - 14. Juni 2023
• BSI-Standard 100-4 (Notfallmanagement) - 2008

Prüfungen beim BSI

• BSI IT-Grundschutz-Berater, BSI-Auditteamleiter, ...
• Ab Juni 2023 auf der Basis des BSI-Standard 200-4

BSI-Standard 200-4 zeigt eine Methode zur Etablierung eines Business Continuity Management

• Ein ISMS nach BSI IT-Grundschutz bietet eine solide Grundlage zur Nutzung von Synergieeffekten und bietet die Möglichkeit, auf bereits dokumentierte Informationen zurückgreifen zu können
• Eine Durchführung eines Business Impact Analyse gibt Aufschluss über die zeitkritischen Geschäftsprozesse und etwaige Abhängigkeiten sowie Parameter für Normal- und Notbetrieb
• Die durchzuführende Risikoanalyse lässt sich analog zur eingesetzten Methodik nach BSI-Standard 200-3 anwenden und kann somit aus dem ISMS adaptiert werden

Fazit

• Die Etablierung eines Business Continuity Managements setzt umfangreiche Kenntnisse der Organisation voraus
• Eine Umsetzung eines ISMS impliziert keine Umsetzung eines Business Continuity Managements
  • allerdings führt der Baustein „DER.4 - Notfallmanagement“ im IT-Grundschutz-Kompendium sowie die konsequente Einbeziehung des Schutzziel „Verfügbarkeit“ erhebliche Abhängigkeiten und Schnittstellen auf
• Mit dem Best-Practice Standard 200-4 des BSI kann eine Zertifizierung nach der ISO 22301 erreicht werden

Sicherstellung des Fortbestands

Sicherstellung des Fortbestands des Unternehmens

• im Sinne ökonomischer Nachhaltigkeit
• im Angesicht von Risiken mit hohem Schadensausmaß

Betriebskontinuitätsmanagement

• Managementmethode
• Lebenszyklus-Modells
• Fortführung der Geschäftstätigkeit unter Krisenbedingungen
• oder zumindest unvorhersehbar erschwerten Bedingungen absichert
• Es besteht eine enge Verwandtschaft mit dem Risikomanagement

Verwandschaften

In den deutschsprachigen Ländern wird das BKM

• bisweilen als verwandt mit der Informationssicherheit
• der IT-Notfallplanung und
• dem Facility Management
• Verbindungen bestehen auch zum Gedankengut der Corporate Governance

Ursprung

• Historisch nachgewiesen ist der militärische Ursprung in der chinesischen Literatur (Sun Tzu, um 500 v. Chr., vgl. kommentierte Übersetzung „The Art of War“, Hrsg. Lionel Giles, The British Museum 1910), später bei deutschsprachigen Militärtheoretikern wie Clausewitz.
• Die fortdauernde Planung, Umsetzung und der erfolgreiche Abschluss eigener Pläne trotz Feindeinwirkung und Störung wurde mit Einsetzen der industriellen Revolution auf das betriebliche Geschehen übertragen.

Kennzeichnend für den Übergang von der militärischen Begrifflichkeit zur zivilen Nutzung sind u. a. (USA) civil defence, homeland security, (D) Zivilverteidigung, Katastrophenschutz.

• Die Entwicklung des BKM erfolgte ab ca. 1950 vornehmlich in den USA, jedoch unter Nutzung der Grundlagen aus Europa.
• Ab ca. 1980 veränderte sich die Wahrnehmung in Richtung der Informationstechnologie, deren zunehmende Bedeutung im Unternehmen zu einem besonderen Risikofaktor wurde.
• Die Sicherstellung des IT-Betriebs erfolgt durch IT Disaster Recovery, deutsch „IT-Notfallplanung“.

Gesamtbetrieb

In der jüngeren Vergangenheit wurde der Begriff des BKM erneut auf den Gesamtbetrieb erweitert, u. a. durch Gesetzgebung wie den (USA) Sarbanes-Oxley Act 2002 und den (GB) Civil Contingencies Act 2004.

• Implizit ist das BKM u. a. nach (D) Kontroll- und Transparenzgesetz 1998, (D, A) Kodizes für Corporate Governance.
• Ergänzend erfolgt die Beschreibung des BKM durch mehrere Normen und Industriestandards, beispielsweise (international) ISO 17799, ISO 22301:2012, (USA) NFPA 1600, (AU, NZ) BCM Better Practice Guidelines, (GB) BS 7799: 2002 (2), (A) ÖNORM A 7799, Veröffentlichungen des Basler Ausschusses hinsichtlich der Zweiten Basler Eigenkapitalverordnung, (D) Mindestanforderungen an das Risikomanagement für Kreditinstitute (MaRisk).

Good Practice Guide

Methode und Rahmen des BKM sind im sog. „Good Practice Guide“ veröffentlicht, der durch das (GB) Business Continuity Institute herausgegeben wird.

• Zentrale Kompetenzen für Praktiker sind in den (GB, USA) „Joint Standards“ geregelt, die gemeinsam durch das Business Continuity Institute und das Disaster Recovery Institute International herausgegeben werden.

Bundesamt für Sicherheit in der Informationstechnik

Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) hat den Standard BSI 100-4 „Notfallmanagement“ als Ergänzung zum IT-Grundschutz entwickelt.

• Mit der Modernisierung des IT-Grundschutz wird bereits an dem Nachfolger BSI 200-4 gearbeitet.

Incident Management

Um bei Vorfällen (siehe auch Incident Management) oder im Katastrophenfall die Abwicklung der Geschäfte eines Unternehmens fortführen zu können (Business Continuity) müssen Analysen und Planungen vorgenommen werden.

Primär Fragen

• Welche Prozesse müssen unbedingt aufrechterhalten werden?
• Welche Maßnahmen sind dafür notwendig?

Prioritäten und Ressourcen

• Dazu müssen Prioritäten definiert und benötigte Ressourcen zugeordnet werden
• Eine Maßnahme im Zuge einer Business-Continuity-Planung stellt das Disaster Recovery dar, der gesamte Prozess der Geschäftsfortführung muss sich jedoch darüber mit sehr vielen anderen Punkten beschäftigen.

Technische Betrachtung

Business Continuity Management

• Organisationseinheit eines Unternehmens

Aufbau und Betrieb eines Notfall- und Krisenmanagements

• Systematischer Vorbereitung auf die Bewältigung von Schadenereignissen

Dadurch soll erreicht werden, dass

• wichtige Geschäftsprozesse selbst in
  • kritischen Situationen und
  • in Notfällen
  • nicht oder
  • nur temporär
  • unterbrochen werden und
  • die wirtschaftliche Existenz des Unternehmens trotz Schadenereignis gesichert bleibt.

Ziel des Business-Continuity-Managements

• Generierung und Proklamation von Prozessdefinitionen und Dokumentation
• Eines betriebsbereiten und dokumentierten Notfallvorsorgeplans
• Exakt auf das individuelle Unternehmen abgestimmt ist
  • sowie die Sensibilisierung aller Mitarbeiter auf das Thema „wirtschaftliche Existenzsicherung bei einer unternehmenskritischen Notfallsituation“

Business Continuity Management System

Rahmenwerk für ein Business Continuity Management System (BCMS)

Management von Notfällen und Krisen

• technisch
• nicht-technisch

Relevanz

Zunehmende Relevanz der Einbeziehung von Maßnahmen für die Geschäftsfortführung (Business Continuity) für die Informationsverarbeitung

Gravierende Risiken frühzeitig erkennen und Maßnahmen dagegen etablieren

• Überleben der Einrichtung sichern
• Organisationen beliebiger Art, Größe und Branche

Synergieeffekte

• Zahlreiche Synergieeffekte zum IT-Grundschutz
• Ressourcen schonen
• Zusammenhänge und Wechselwirkungen berücksichtigen

Notfallmanagement vs. Business Continuity Management

Notfallmanagement

• Schäden vermeiden und eindämmen
• Notfälle verhindern und bewältigen

Klassisches Notfallmanagement

• Brandschutz
• Arbeits- und Unfallschutz
• ...

Business Continuity Management

• Wiederanlauf des Geschäftsbetriebs
• Modernere Begriff zur Bewältigung der heute relevanten Risikoszenarien

Einbettung in die Organisationsstruktur

Geplantes und organisiertes Vorgehen

• Widerstandsfähigkeit (zeit-) kritischer Geschäftsprozesse steigern
• Auf Schadensereignisse angemessen reagieren
• Geschäftstätigkeiten schnellstmöglich wiederaufnehmen

Business Continuity Management System (BCMS)

Aufrechterhaltung der Betriebsfähigkeit einer Organisation

• systematische, geplante und organisierte Vorgehensweise
• das Erreichen der Ziele der Organisation für ein angemessenes Business Continuity Niveau

BCMS ist kein Bestandteil eines ISMS

• Eigenständiges Managementsystem mit (oftmals) zahlreichen Schnittstellen

Rollen und Verantwortungsbereiche

Allgemeine Aufbauorganisation (AAO)

• Etablierte organisationsweite Hierarchie und Führungsstruktur

Besondere Aufbauorganisation (BAO)

• Zielgerichtete und zweckmäßige Gruppierung, um bei Zwischenfällen zeitgerecht zu agieren

Stufenmodell für Vorgehensweisen

Option	Beschreibung
Reaktiv
Aufbau
Standard

Reaktiv

Schnelle Fähigkeit zur Notfallbewältigung

Basis-Niveau

• Spart Ressourcen
• wenn keine „Notfälle“ eintreten würden
• Lücken in der Absicherung
• Bereiche, die nicht betrachtet

Aufbau

Schrittweiser, ressourcenschonender Aufbau

• Kann für einen kleineren Teil des Scope gezielt eingesetzt
• Bereiche, die in der Absicherung der Organisation nicht werden betrachtet werden

Standard

Vollständige Absicherung/Resilienz der Institution

• Konformität ISO-22301
• Möglichkeit zur Zertifizierung nach ISO 22301
• Erhöhter Ressourcenbedarf gegenüber den Einstiegsstufen

Vorgehensweisen

Planung eines organisationsspezifischen BCMS

Vorgehensweisen

• Reaktiv
• Aufbau
• Standard

Aufgabenbereiche

grenzen

umfassende 

Aufgabenbereiche zur Planung und Umsetzung sowie zur Überwachung und zur kontinuierlichen Verbesserung des BCMS voneinander ab

Aufgabenbereiche

BSI-Standard 200-4 beschreibt die spezifischen Aufgabenbereiche detailliert und könnte daher als Basis für die Erstellung eines Projektplans für das BCMS optimal genutzt werden

Eskalationsstufen

BSI-Standard 200-4 beschreibt

Interne Eskalation

• Drei Stufen

Extern Eskalation

• bei Zwischenfällen
• die bei jeder Organisation individuell voneinander abgegrenzt werden müssen

Katastrophenszenarien

Art von Ereignissen (Incidents)

• IT/System-Ausfall
• Gebäudeausfall
• Ausfall von Personal (Pandemie, ...)
• Ausfall von Lieferanten/Partnern

Je nach Ereignis wird das Unternehmen mit einem spezifischen Katastrophenszenario reagieren

• Um die Kontinuität des Unternehmens sicherzustellen, ist bei einem System-Ausfall anders zu reagieren als bei einem starken Anstieg von erkranktem Personal.
• Für den ersten Fall wird sich das Unternehmen parallele IT-Systeme beschaffen, um den Ausfall eines Systems über alternative Ressourcen zu überbrücken.
• Ein großer Personalausfall ist aus Sicht des Unternehmens eher mit Präventionsmaßnahmen zu behandeln.
• Als Beispiel sind etwa verstärkte Hygienemaßnahmen bei Ankündigung einer Pandemie zu nennen.

Business Impact Analyse

• Umfassender pragmatischer Ansatz
• Ausführliche Vorbereitung

Dokumentation

Referenzdokumente

Präventiv

• Leitlinie zum Business Continuity Management
• Notfallvorsorgekonzept
• Prozessbeschreibungen und Anweisungen
• Hilfsmittel

Reaktiv

• Notfallhandbuch

Dokumentenstruktur

Dokumente zur Vorsorge

• beschreiben die Anforderungen an das BCMS und sind Elemente des BCMS sowie Teil der Notfallvorsorge

Dokumente zur Reaktion

• werden für die Notfallbewältigung erstellt und genutzt

Hinsichtlich der Dokumentenstruktur und der Bezeichnungen der Dokumente, wie beispielsweise „Notfallhandbuch“ oder „Notfallvorsorgekonzept“, sowie den erwähnten Dokumentenarten ist der BSI-Standard 200-4 nicht bindend und kann organisationsspezifisch angepasst werden

Übungen und Tests

Übungen und Tests nehmen in BSI-Standard 200-4 einen hohen Stellenwert ein

• Ein spezifisches Kriterium für die Planung von Übungen und Tests
• soll insbesondere die Einbeziehung von besonderen Widrigkeiten im Geschäftsbetrieb darstellen

Der ISB und der Business Continuity Beauftragte sollten die Organisation dabei unterstützen einen umfassenden Übungsplan zu erstellen und dabei Verfahren zu mindestens folgenden Übungsarten konzipieren

Übungsarten

Übung	Beschreibung
Planbesprechung	Schreibtischtest
Stabsübung
Stabsrahmenübung
Alarmierungsübung
Funktionstest

Synergien

Business Continuity Management

Die Notwendigkeit eines Business Continuity Management Systems(BCMS) ist oft leichter ersichtlich, als beim Informationssicherheitssystems (ISMS)

Prozessual gesteuerte Kommunikation

• zwischen der IT, dem ISB und dem Business Continuity Beauftragten
• könnten verbindliche Festlegungen eine Verbesserung des BCMS und des ISMS bewirken, z. B. „Jeder IT-Notfall muss an den ISB kommuniziert werden, da es sich wahrscheinlich um einen meldepflichtigen IT-Sicherheitsvorfall handeln kann“

Synergien

BCMS und ISMS

Weitere Managementsysteme

• Datenschutzmanagement
• IT-Service-Continuity-Management
• IT-Risikomanagement
• ...

Beim IT-Grundschutz bei

• Strukturanalyse
• Schutzbedarfsfeststellung
• Modellierung

Baustein DER.4 Notfallmanagement

DER.4 Notfallmanagement

Anhang

Siehe auch

• Skript/Grundschutz/Berater

Links

Weblinks

1. https://de.wikipedia.org/wiki/Betriebliches_Kontinuit%C3%A4tsmanagement

</noinclude>

Prüfung

Prüfung zum Grundschutz-Praktiker - Kurzbeschreibung

Themenbereiche

Beschreibung

Nr	Themenfeld	Gewichtung
01	Einführung und Grundlagen	2
02	Normen und Standards	2
03	Einführung IT-Grundschutz	2
04	Vorgehensweise	2
05	Kompendium	1
06	Umsetzung	1
07	Grundschutz-Check	3
08	Risikoanalyse	2
09	Umsetzungsplanung	1
10	Aufrechterhaltung und Verbesserung	1
11	Zertifizierung	1
12	IT-Grundschutz-Profile	1
13	Vorbereitung auf ein Audit	1
14	Business Continuity Management	3
15	Prüfung	1

Prüfungsbedingungen