Grundschutz/Umsetzungsplanung

Aus Foxwiki

Grundschutz/Umsetzungsplanung - Lücken im Sicherheitskonzept schließen

Beschreibung

In Ihrer Institution sind alle Basis- und Standard-Anforderungen erfüllt?
  • Sie haben ferner mithilfe von Risikoanalysen festgestellt, dass auch solche Zielobjekte angemessen geschützt sind, die einen besonderen Schutzbedarf haben
  • Dann haben Sie zweifelsfrei ein gutes Sicherheitsniveau in Ihrer Institution erreicht, und können sich darauf konzentrieren, dieses zu erhalten und zu verbessern

In der Regel führen -Grundschutz-Check und zusätzliche Risikoanalysen aber zu einem anderen Ergebnis

Defizite gibt es immer
  • Lücken in den vorhandenen organisatorischen Regelungen
  • mangelnde Kontrolle der geltenden Regeln
  • fehlende Sicherheitstechnik
  • unzureichender baulicher Schutz gegen Feuer, Wasser oder Diebstahl
Lücken wirksam und effizient schließen

Bei der Umsetzungsplanung geht es darum, diese Lücken wirksam und effizient zu schließen

  • In dieser Lektion lernen Sie hierfür ein systematisches Vorgehen kennen, an dem Sie sich insbesondere dann orientieren können, wenn viele Einzelmaßnahmen umzusetzen sind
  • Sie erfahren
  • welche Aspekte Sie bei der Umsetzung von Sicherheitsmaßnahmen berücksichtigen müssen
  • mit welchen Hilfsmitteln Sie der -Grundschutz dabei unterstützt
  • was Sie tun sollten, wenn zweckmäßige Sicherheitsmaßnahmen nicht unmittelbar umgesetzt werden können und
  • wie Sie die Ergebnisse der Umsetzungsplanung dokumentieren können

Maßnahmen konsolidieren

[Image:Abb_8_01_Schritt1.png?__blob=normal&v=1Bild2.png|top|alt="Umsetzungsplanung Schritt 1"]]

Im ersten Schritt sind aus den Ergebnissen des -Grundschutz-Checks und eventuell durchgeführter Risikoanalysen diejenigen Anforderungen herauszufiltern, die nicht oder nur teilweise erfüllt sind

Eine übersichtliche Dokumentation erhalten Sie, wenn Sie die unzureichend erfüllten Anforderungen tabellarisch zusammenstellen und dabei nach den betroffenen Zielobjekten gruppieren, etwa nach dem gesamten Informationsverbund oder bestimmten Räumen und -Systemen

Legen Sie anschließend Maßnahmen fest, mit denen Sie diese Sicherheitslücken schließen können

  • Als Hilfsmittel hierfür können Sie die Umsetzungshinweise zu den einzelnen -Grundschutz-Bausteinen verwenden

Anschließend betrachten Sie die Maßnahmen im Zusammenhang und prüfen

  • ob einzelne Maßnahmen überflüssig werden, weil andere zu realisierende Maßnahmen einen mindestens gleichwertigen Schutz für das jeweilige Zielobjekt bewirken
  • welche Maßnahmen noch konkretisiert und an die individuellen Gegebenheiten der Institution angepasst werden müssen und
  • ob die Maßnahmen tatsächlich geeignet und angemessen sind, sie also genügend Schutz bieten, ohne die Arbeitsabläufe zu behindern oder die Schutzwirkung anderer Maßnahmen zu beeinträchtigen

Ziel ist es, durch Streichung der überflüssigen und Konkretisierung der verbleibenden Maßnahmen den erforderlichen finanziellen und personellen Realisierungsaufwand auf das notwendige Maß zu begrenzen

Das Ergebnis dieses Schritts ist eine auf die jeweilige Institution zugeschnittene und konkretisierte Liste von Maßnahmen

  • Erleichtern Sie die spätere Nachvollziehbarkeit der Entscheidungen, die Sie bei dem Abgleich und der Anpassung der Maßnahmen getroffen haben, indem Sie die Begründungen dokumentieren

Beispiele

Einige Beispiele sollen die Fragestellungen und mögliche Lösungen bei der Konsolidierung der Maßnahmen verdeutlichen:

  • Wenn eine Risikoanalyse ergab, dass für eine Gruppe von -Systemen eine Authentisierung über ein chipkarten- oder token-basiertes Verfahren angewandt werden sollte, können unter Umständen Maßnahmen zur Gewährleistung einer hohen Passwortgüte entfallen
  • Fehler bei der Gebäudeplanung lassen sich nachträglich oft nur mit einem unverhältnismäßig hohen Aufwand korrigieren
  • Wenn die vollständige Erfüllung von Anforderungen wie die Vermeidung wasserführender Leitungen aufgrund der baulichen Gegebenheiten wirtschaftlich nicht vertretbar ist, sollten zumindest Ersatzmaßnahmen getroffen werden
  • Beispielsweise können unter den vorhandenen Leitungen wasserableitende Bleche installiert werden, die von einem Wassermelder mit einer im ständig besetzten Pförtnerraum hörbaren Alarmsirene überwacht werden
  • Dadurch können Wasserschäden zumindest frühzeitig erkannt und in den Auswirkungen begrenzt werden
  • Maßnahmen zum Zugangsschutz versperren unter Umständen im Brandfall mögliche Fluchtwege
  • Hier empfiehlt sich gegebenenfalls die Rücksprache mit Brandschutzexperten, der Feuerwehr, um sowohl dem Zugangs- als auch dem Brandschutz gleichermaßen gerecht zu werden
  • Die Verschlüsselung unternehmenskritischer Informationen zum Schutz ihrer Vertraulichkeit ist ein Beispiel für eine Maßnahme, die mit anderen Schutzzielen kollidieren kann, und bei der daher eine sorgfältige Abwägung der Vor- und Nachteile und unter Umständen ergänzende Maßnahmen nötig sind:
    • Verschlüsselte E-Mails können den zentralen Virenschutz auf einem Server unterlaufen und so zur Infiltration eines Netzes mit Schadsoftware führen
    • Bei unzureichendem Schlüssel-Management oder fehlerhafter Anwendung kann Verschlüsselung ferner die Verfügbarkeit wichtiger Daten auch für berechtigte Personen gefährden

Aufwände schätzen

[Image:Abb_8_02_Schritt2.png?__blob=normal&v=1Bild3.png|top|alt="Umsetzungsplanung Schritt 2"]]

Angesichts des in der Regel begrenzten Budgets für Informationssicherheit ist ein Überblick über die voraussichtlichen fixen und variablen Kosten der einzelnen Maßnahmen nötig

  • Daher schätzen Sie im nächsten Schritt, welcher einmalige und wiederkehrende finanzielle und personelle Aufwand durch die Umsetzung der einzelnen geplanten Maßnahmen entsteht

Der Einsatz von Personal und Finanzmitteln muss vom Management getragen werden

  • Dies gilt insbesondere dann, wenn die bewilligten Finanzmittel nicht für die sofortige Umsetzung sämtlicher Maßnahmen ausreichen und entschieden werden muss, ob das Budget aufgestockt oder das Risiko in Kauf genommen werden soll, das verbleibt, wenn Maßnahmen nicht umgesetzt werden

Zur Vorbereitung einer Managemententscheidung über die Einführung von Sicherheitsmaßnahmen sollten Sie

  • einen Vorschlag für die Verteilung des Budgets erarbeiten
  • kostengünstigere Ersatzmaßnahmen erwägen, falls der Aufwand für die Umsetzung einzelner Maßnahmen das voraussichtliche Budget übersteigt
  • die Restrisiken, die aus der Nichterfüllung von Sicherheitsanforderungen entstehen, dem Management bewusst machen (als Argumentationshilfe können Sie die Kreuzreferenztabellen verwenden, die Sie am Ende eines jeden -Grundschutz-Bausteins finden und in denen dargestellt ist, gegen welche Gefährdungen eine Anforderung gerichtet ist) und
  • dafür sorgen, dass das Management bei der Entscheidung über das Budget durch Unterschrift dokumentiert, dass es bereit ist, die Restrisiken zu tragen

Beachten Sie, dass die Erfüllung der relevanten Basis-Anforderungen das Mindest-Sicherheitsniveau gemäß -Grundschutz ist

  • Risiken, die aus der Nichterfüllung solcher Anforderungen erwachsen, sollten daher nicht akzeptiert werden

Umsetzungsreihenfolge und Verantwortlichkeit

[Image:Abb_8_03_Schritte3_4.png?__blob=normal&v=1Bild5.png|top|alt="Umsetzungsplanung Schritte 3 und 4"]]

Wenn Budget oder Personal nicht ausreichen, alle wünschenswerten Sicherheitsmaßnahmen unmittelbar umzusetzen, ist eine sinnvolle Reihenfolge festzulegen

  • Dabei sollten Sie sich an folgenden Regeln orientieren:
  • Einen ersten Indikator zur Umsetzungsreihenfolge liefern die Kennzeichnungen R1, R2 und R3 bei den Modellierungshinweisen in Kapitel 2.2 des -Grundschutz-Kompendiums
  • Anforderungen aus mit „R1“ gekennzeichneten Bausteinen (z. B. ISMS.1 Sicherheitsmanagement und die Bausteine der Schicht ORP Organisation und Personal) sollten vorrangig erfüllt werden
  • Anschließend sind Anforderungen aus den mit „R2“ gekennzeichneten Bausteine zu erfüllen und erst zum Schluss solche aus Bausteinen, die mit dem Kürzel „R3“ versehen sind
  • Grundsätzlich sind ferner zunächst diejenigen Maßnahmen umzusetzen, mit denen Basis-Anforderungen erfüllt werden, dann diejenigen zur Erfüllung von Standard-Anforderungen und erst zuletzt die zur Gewährleistung eines höheren Schutzbedarfs
  • Berücksichtigen Sie ferner auch die sachlogischen Zusammenhänge der einzelnen Maßnahmen: So sind diejenigen Maßnahmen vorzuziehen, deren Umsetzung eine Voraussetzung für die Realisierung weiterer Maßnahmen ist

Insbesondere sollten Sie Ihr Augenmerk darauf legen, welche Wirkung die Umsetzung der einzelnen Maßnahmen auf das Sicherheitsniveau des Informationsverbundes hat

  • Setzen Sie vorrangig solche Maßnahmen um, die
  • Komponenten mit höherem Schutzbedarf betreffen ( sollten Server vor Clients abgesichert werden)
  • eine große Breitenwirkung entfalten (z. B. zentrale Maßnahmen wie der Einsatz von Netz- und Systemmanagement-Werkzeugen) oder
  • Bereiche betreffen, in denen auffallend viele Sicherheitsmaßnahmen fehlen

Dokumentieren Sie auch Ihre Entscheidungen zur Umsetzungsreihenfolge und deren Begründungen sorgfältig, damit nachvollziehbar und verständlich wird, warum Sie die aus der zeitlich nachgeordneten Umsetzung bestimmter Maßnahmen resultierenden Restrisiken in Kauf genommen haben

  • Dies kann insbesondere bei eventuell möglichen juristischen Streitfällen als Nachweis wichtig sein, dass die notwendige Sorgfaltspflicht beachtet wurde

Aufgaben und Verantwortlichkeiten

Maßnahmen werden meist nur dann fristgerecht umgesetzt, wenn geklärt wird, wer bis zu welchem Termin für deren Umsetzung zuständig ist

  • Der nächste Schritt besteht daher darin, diejenigen Personen zu bestimmen, welche die Umsetzung initiieren und durchführen sollen
  • Auch diese Entscheidungen sollten mit dem Management abgestimmt sein

Achten Sie darauf, dass die für die Umsetzung Zuständigen ausreichende Kenntnisse und Kompetenzen besitzen und ihnen die erforderlichen Ressourcen zur Verfügung gestellt werden

  • Planen Sie erforderliche Fortbildungen ein

Begleitende Maßnahmen

Begleitende Maßnahmen festlegen
[Image:Abb_8_04_Schritt5.png?__blob=normal&v=1Bild6.png|top|alt="Umsetzungsplanung Schritt 5"]]

Der Erfolg einer Maßnahme hängt in einem entscheidenden Umfang davon ab, wie diese von den Mitarbeitern akzeptiert und angewandt wird

  • Achten Sie daher darauf, dass bei Einführung neuer Sicherheitsmaßnahmen die betroffenen Mitarbeiter ausreichend geschult und für mögliche Probleme sensibilisiert werden

Schulungsmaßnahmen

Planen Sie Schulungsmaßnahmen ein!

Die Einführung neuer Sicherheitsmaßnahmen erfordert immer auch aufgaben- und produktbezogene Schulungen für die betroffenen Mitarbeiter

  • Was nützt zum Beispiel ein neu angeschaffter Feuerlöscher, wenn die Mitarbeiter im Brandfall nicht sachgerecht mit ihm umgehen können? Drei weitere Beispiele für zweckmäßige Schulungen:
  • Wenn Sie einem Mitarbeiter besondere Aufgaben im Sicherheitsmanagement übertragen, etwa als -Informationssicherheitsbeauftragter, benötigt er vielfältige und kontinuierlich zu aktualisierende Kenntnisse zu methodischen, organisatorischen und technischen Aspekten seines Aufgabengebiets
  • Der hierfür erforderliche Zeitaufwand ist bereits vor der Einführung dieser Verantwortlichkeit und der Ernennung des hierfür ausgewählten Mitarbeiters zu berücksichtigen
  • Wenn die Schnittstelle zum Internet durch eine Firewall geschützt werden soll, benötigt der zuständige Netzadministrator Kenntnisse über deren sichere Installation, Konfiguration und Administration
  • Der Einsatz von Verschlüsselungssoftware zum Schutz der Vertraulichkeit personenbezogener oder unternehmenskritischer Daten erfordert nicht nur den Aufbau von Know-how zu dem eingesetzten Produkt, sondern auch Regeln für dessen Anwendung: Welche Nachrichten oder Dateien sind zu verschlüsseln? Wie ist der private Schlüssel zu schützen? Wie sichert man, dass im Bedarfsfall berechtigte Vertreter Zugriff auf die verschlüsselten Daten erhalten? Die auf diese und andere Fragen gefundenen Lösungen müssen den Mitarbeitern verständlich gemacht werden

Sensibilisierung

Sensibilisieren Sie die betroffenen Mitarbeiter!

Gute Schulung alleine garantiert noch kein sicherheitsgerechtes Verhalten

  • Für die dauerhafte Wirksamkeit der Sicherheitsmaßnahmen ist es wichtig, dass die Mitarbeiter für Informationssicherheit sensibilisiert und bereit sind, die erforderlichen Maßnahmen umzusetzen, die notwendigen Verhaltensregeln zu beachten und unter Umständen auch Unbequemlichkeiten zu akzeptieren
  • Einige negative Beispiele:
  • Brandschutztüren verlieren ihre Schutzwirkung, wenn sie mit Holzkeilen offen gehalten werden, weil den Mitarbeitern das ständige Öffnen der Türen zu umständlich ist
  • Der Kauf von Software zur E-Mail-Verschlüsselung wird zur Fehlinvestition, wenn die Mitarbeiter diese nicht benutzen, weil sie sich der Gefährdungen der Vertraulichkeit nicht bewusst sind und ihre E-Mails weiterhin unverschlüsselt versenden, auch solche mit vertraulichem Inhalt
  • Passwörter bedeuten immer einen zusätzlichen Arbeitsschritt vor der eigentlichen Aufgabe
  • Regeln für sichere Passwörter wie periodischer Wechsel oder die Verwendung unterschiedlicher Passwörter für unterschiedliche Systeme erhöhen die Unbequemlichkeit
  • Wenn die Mitarbeiter diese Anforderungen lediglich als lästige Pflicht betrachten, werden Sie dazu neigen, sie zu umgehen, indem sie unsichere Passwörter wählen oder Zettel mit den Passwörtern in der Nähe des Rechners platzieren
  • Ein Netzadministrator, der seine Probleme bei der Installation eines Sicherheitsgateways unter Angabe seiner dienstlichen Adresse in einem Internet-Forum diskutiert, gefährdet die Schutzwirkung der Software, um deren Installation er sich bemüht

Den betroffenen Mitarbeitern muss der Sinn der neuen Sicherheitsmaßnahmen verständlich gemacht werden, sei es in Gesprächen, in eigens anberaumten Versammlungen, während regelmäßig stattfindender Besprechungen oder in schriftlicher Form

Akzeptanz

Überprüfen Sie die Akzeptanz der Maßnahmen!

Maßnahmen, die von den Mitarbeitern nicht akzeptiert werden, drohen zu scheitern. Überprüfen Sie daher nach Einführung der Sicherheitsmaßnahmen, ob diese tatsächlich von den Mitarbeitern angenommen werden

  • Sollte dies nicht oder nur eingeschränkt der Fall sein, so versuchen Sie, die Ursachen dafür zu ermitteln, und leiten Sie bei Bedarf zusätzliche Maßnahmen zur Sensibilisierung ein

Dokumentation

Der nachfolgende Auszug aus dem Realisierungsplan der RECPLAST zeigt, wie Sie die Festlegungen zur Umsetzung von Maßnahmen dokumentieren können

  • Dargestellt sind Maßnahmen für ein ausgewähltes Zielobjekt, den Printserver S003, und die zugehörigen Entscheidungen zu Terminen, Budget und Verantwortlichkeiten
Umsetzungsplan
Anforderung Maßnahme Termin Budget Umsetzung
SYS.1.1.A3 Restriktive Rechtevergabe Die verbliebenen Gruppenberechtigungen müssen aufgelöst werden Drittes Quartal des Jahres keine Kosten Herr Schmitt(-Betrieb)
SYS.1.1.A4 Rollentrennung Separate Benutzerkennungen für jeden Administrator einrichten 31
  • Juli des Jahres
 keine Kosten Herr Schmitt(-Betrieb)
SYS.1.1.A8 Regelmäßige Datensicherung Die Datensicherungen werden derzeit auf Bändern im Serverraum aufbewahrt
  • Ein externes Backup-System ist geplant
  • Ein Angebot für die Initialisierung liegt bereits vor (15.000 €)
  • Die Betriebskosten müssen noch verhandelt werden
 Erstes Quartal im Folgejahr Anschaffung: 15.000 €Betrieb:noch offen Frau Meyer(Einkauf)


Realisierung von IT-Sicherheitsmaßnahmen

  1. Sichtung der Untersuchungsergebnisse
    Welche Maßnahmen sind nicht oder nur teilweise umgesetzt?

Schritt 2: Konsolidierung der Maßnahmen

  • Welche IT-Grundschutzmaßnahmen werden durch höher- oder gleichwertige Maßnahmen ersetzt?
  • Welche Maßnahmenempfehlungen müssen noch an die individuellen Gegebenheiten angepasst werden?

Schritt 3: Kosten- und Aufwandsschätzung

  • Welche einmaligen/wiederkehrenden Investitions- bzw. Personalkosten entstehen?
  • Wenn das zur Verfügung stehende Budget nicht ausreicht, sollten Ersatzmaßnahmen ergriffen werden und das verblei-bende Restrisiko für die Leitungsebene dokumentiert werden

Schritt 4: Festlegung der Umsetzungsreihenfolge

  • Welche fehlenden Maßnahmen sollten zuerst umgesetzt werden?
  • Breitenwirkung beachten!

Schritt 5: Festlegung der Verantwortlichkeit

  • Wer setzt welche Maßnahme bis wann um?

Schritt 6: Realisierungsbegleitende Maßnahmen

  • Schulung der Mitarbeiter
  • Sensibilisierung der Mitarbeiter zur Erhöhung der Akzeptanz der IT-Sicherheitsmaßnahmen

Konsolidierung der Maßnahmen

Konsolidieren der Maßnahmen der IT-Grundschutz-Kataloge

zusätzlichen Maßnahmen aus der Ergänzenden Risikoanalyse


=> zu realisierende Maßnahmen


Anhang

Siehe auch

Sicherheit

Dokumentation

Links

Projekt
Weblinks
Abgerufen von „https://wiki.foxtom.de/index.php?title=Grundschutz/Umsetzungsplanung&oldid=97491