Skript/IT-Grundschutz/Praktiker: Unterschied zwischen den Versionen
Keine Bearbeitungszusammenfassung |
|||
(78 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
Zeile 1: | Zeile 1: | ||
= Einführung und Grundlagen | '''Skript/IT-Grundschutz/Praktiker''' | ||
{{:Grundschutz/Praktiker/Inhalte}} | |||
= Einführung = | |||
Einführung und Grundlagen | |||
; Sicherheit | |||
[[Sicherheit]] | |||
== Informationssicherheit == | == Informationssicherheit == | ||
Zeile 7: | Zeile 13: | ||
= Normen und Standards = | = Normen und Standards = | ||
== ISO/27000 == | |||
{{:ISO/27000}} | |||
== BSI-Standards == | |||
{{:BSI/Standard}} | {{:BSI/Standard}} | ||
Zeile 12: | Zeile 21: | ||
{{:IT-Grundschutz}} | {{:IT-Grundschutz}} | ||
= | = Sicherheitskonzept = | ||
{{:Grundschutz/Sicherheitskonzept}} | {{:Grundschutz/Sicherheitskonzept}} | ||
= | = Vorgehen = | ||
{{: | {{:IT-Grundschutz/Vorgehen}} | ||
= | = IT-Grundschutz-Kompendium = | ||
{{:Grundschutz/ | {{:IT-Grundschutz/Kompendium}} | ||
= Grundschutz-Check = | = Grundschutz-Check = | ||
Zeile 25: | Zeile 34: | ||
= Risikoanalyse = | = Risikoanalyse = | ||
{{: | {{:Skript/BSI/200-3}} | ||
= Umsetzungsplanung = | = Umsetzungsplanung = | ||
{{:Grundschutz/Umsetzungsplanung}} | {{:Grundschutz/Umsetzungsplanung}} | ||
= | = Verbesserungsprozess = | ||
{{:Grundschutz/Verbesserungsprozess}} | {{:Grundschutz/Verbesserungsprozess}} | ||
Zeile 39: | Zeile 48: | ||
{{:Grundschutz/Profile}} | {{:Grundschutz/Profile}} | ||
= Grundschutz | = Grundschutz-Audit = | ||
{{:Grundschutz/Audit}} | {{:Grundschutz/Audit}} | ||
Zeile 45: | Zeile 54: | ||
{{:Business Continuity Management}} | {{:Business Continuity Management}} | ||
= Prüfung = | = Sicherheitsvorfälle behandeln = | ||
{{:Grundschutz/Sicherheitsvorfallbehandung}} | |||
= Prüfung zum Grundschutz-Praktiker = | |||
{{:Seminar/Grundschutz/Praktiker/Prüfung}} | {{:Seminar/Grundschutz/Praktiker/Prüfung}} | ||
Aktuelle Version vom 16. November 2024, 21:43 Uhr
Skript/IT-Grundschutz/Praktiker
Kapitel | Titel | Beschreibung | Gewichtung |
---|---|---|---|
01 | Einführung Informationssicherheit | 2 | |
02 | Normen und Standards | 2 | |
03 | Einführung IT-Grundschutz | 2 | |
04 | Vorgehensweise | 2 | |
05 | Kompendium | 1 | |
06 | Erstellung eines Sicherheitskonzepts | 1 | |
07 | Grundschutz-Check | 3 | |
08 | Risikoanalyse | 2 | |
09 | Umsetzungsplanung | 1 | |
10 | Aufrechterhaltung und Verbesserung | 1 | |
11 | Zertifizierung | 1 | |
12 | IT-Grundschutz-Profile | 1 | |
13 | Vorbereitung auf ein Audit | 1 | |
14 | Behandlung von Sicherheitsvorfällen | 2 | |
15 | Business Continuity Management | 2 | |
16 | Prüfung zum Grundschutz-Praktiker |
Einführung
Einführung und Grundlagen
- Sicherheit
Informationssicherheit
Informationssicherheit - Eigenschaft von Systemen Vertraulichkeit, Verfügbarkeit und Integrität sicherzustellen
Beschreibung
- Systeme
System | Beschreibung |
---|---|
nicht-technisch | Prozessorientiert |
technisch | Systemorientiert |
Begriffe
Begriff | Beschreibung |
---|---|
Informationssicherheit | Eigenschaft von Systemen, Vertraulichkeit, Verfügbarkeit und Integrität sicherzustellen |
Cybersicherheit | Sicherheit gegen Gefahren aus dem Internet |
IT-Sicherheit | Technische Maßnahmen zur Realisierung von Grundwerten |
Datenschutz | Schutz personenbezogener Daten (privacy) |
Business Continuity Management | Sicherstellung des Fortbestands von Einrichtungen |
Informationsverarbeitung
Tätigkeit | Beschreibung |
---|---|
Erfassen | |
Speichern | |
Übermitteln |
Informationssicherheit
- Informationssicherheit
- Schutz vor Gefahren/Bedrohungen
- Vermeidung von wirtschaftlichen Schäden
- Minimierung von Risiken
- Begriff Informationssicherheit
Der Begriff Informationssicherheit bezieht sich oft auf eine globale Informationssicherheit
- Bei der die Zahl der möglichen schädlichen Szenarien summarisch reduziert ist oder der Aufwand zur Kompromittierung für den Betreiber in einem ungünstigen Verhältnis zum erwarteten Informationsgewinn steht
- In dieser Sichtweise ist die Informationssicherheit eine ökonomische Größe, mit der zum Beispiel in Betrieben und Organisationen gerechnet werden muss
- Daneben bezieht sich der Begriff auch auf die Sicherheit unter einem bestimmten Szenarium
- In diesem Sinn liegt Informationssicherheit vor, wenn über einen bereits bekannten Weg kein Angriff auf das System mehr möglich ist
- Man spricht von einer binären Größe, weil die Information beim Anwenden dieser speziellen Methode entweder sicher oder nicht sicher sein kann
Grundwerte
- Grundwerte der Informationssicherheit
Vertraulichkeit | |
Verfügbarkeit | |
Integrität |
Abhängigkeit von IT-Systemen
- Private und öffentliche Unternehmen sind in allen Bereichen ihrer Geschäftstätigkeit, Privatpersonen in den meisten Belangen des täglichen Lebens auf IT-Systeme angewiesen
- Da neben der Abhängigkeit auch die Risiken für IT-Systeme in Unternehmungen in der Regel größer sind als für Computer und Netzwerke in privaten Haushalten, ist Informationssicherheit überwiegend Aufgabe von Unternehmen
Gesetzte und Regelungen
Entsprechende Verpflichtungen lassen sich im gesamten deutschsprachigen Raum aus den verschiedenen Gesetzen zum Gesellschaftsrecht, Haftungsrecht, Datenschutz, Bankenrecht usw. herleiten
- Dort stellt Informationssicherheit einen Baustein des Risikomanagements dar
- International spielen Vorschriften wie Basel II und der Sarbanes-Oxley Act eine wichtige Rolle
Informationssicherheit und IT-Sicherheit
Motivation
- Risikoorientierte Herangehensweise
- Vermeidung von Schäden durch Maßnahmen
- Schutz vor Schäden jeglicher Art
- Klassische Beispiele
- Image- und Vertrauensverlust
- Datenverlust
- Produktivitätsausfall
- Wirtschaftsspionage
- Verletzung von Marken- und Urheberrechten
IT-Sicherheit
- Motivationen
Motivation | Beschreibung | |
---|---|---|
Globalisierung | Kommunikationsbedürfnisse und -infrastruktur (Internet) | Verteilte Informatiksysteme sind kritische Ressourcen
|
Offene Systeme | Vielfältige Schnittstellen und Datenaustausch | Erhöhung des Angriffs- und Schadenpotentials |
Physische Sicherheit | Zugang zu Räumen und IT-Systemen | Kann oft nicht gewährleistet werden |
Vertrauen als Ressource | Wem vertraue ich, wem nicht? | Wer ist mein Gegenüber wirklich? |
Arten und Wichtigkeit von Informationen
- Informationen sind Werte
- Wertvoll für eine Organisation
- Wie die übrigen Geschäftswerte
- Müssen in geeigneter Weise geschützt werden
- Angemessener Schutz
Unabhängig von
- Erscheinungsform
- Art der Nutzung
- Speicherung
Option | Beschreibung |
---|---|
Schutzziele | IT-Sicherheit/Grundfunktionen |
Maßnahmen | IT-Grundschutz/Maßnahmen |
IT-Sicherheitsmanagement | Managementsystem_für_Informationssicherheit |
- Aufrechterhaltung (CIA) von Informationen
- Vertraulichkeit
- Integrität
- Verfügbarkeit
- Ziel
Sicherstellen, dass Informationen in kritischen Situationen nicht beeinträchtigt werden
- Problemfelder
- Zu diesen Problemen gehören unter anderem Naturkatastrophen, Computer-/Serverfehlfunktionen und physischer Diebstahl
- Während papiergestützte Geschäftsabläufe immer noch weitverbreitet sind und eine eigene Reihe von Informationssicherheitspraktiken erfordern, werden digitale Unternehmensinitiativen immer mehr in den Vordergrund gerückt, wobei die Informationssicherheit jetzt in der Regel von IT-Sicherheitsspezialisten übernommen wird
- Diese Spezialisten wenden die Informationssicherheit auf die Technologie an (meistens auf eine Form von Computersystemen)
- Es sei darauf hingewiesen, dass ein Computer nicht zwangsläufig ein Heimcomputer ist
- Was ist ein Comuter?
Ein Computer ist jedes Gerät mit einer Prozessor und etwas Speicher
- Solche Geräte können von nicht vernetzten, eigenständigen Geräten wie Taschenrechnern bis zu vernetzten mobilen Computern wie Smartphones und Tablet-Computern reichen
- IT-Sicherheitsspezialisten
- IT-Sicherheitsspezialisten sind aufgrund der Art und des Wertes der Daten in größeren Unternehmen fast immer in allen größeren Unternehmen/Einrichtungen zu finden
- Sie sind dafür verantwortlich, dass die gesamte Technologie des Unternehmens vor böswilligen Cyberangriffen geschützt wird, die häufig darauf abzielen, an wichtige private Informationen zu gelangen oder die Kontrolle über die internen Systeme zu erlangen
- Informationssicherheit hat sich in den vergangenen Jahren stark weiterentwickelt
- Es bietet viele Spezialisierungsmöglichkeiten, darunter die Sicherung von Netzwerken und verwandter Infrastruktur, die Sicherung von Anwendungen und Datenbanken, Sicherheitstests, die Prüfung von Informationssystemen Auditierung, Geschäftskontinuitätsplanung, die Aufdeckung elektronischer Daten und digitale Forensik
- Fachleute für Informationssicherheit sind in ihrem Beschäftigungsverhältnis sehr stabil
- Mehr als 80 Prozent der Fachleute hatten über einen Zeitraum von einem Jahr keinen Wechsel des Arbeitgebers oder der Beschäftigung zu verzeichnen, und die Zahl der Fachleute wird von 2014 bis 2019 voraussichtlich kontinuierlich um mehr als 11 Prozent jährlich steigen
Schutz von Informationen
- Schutz von Informationen durch die Minderung von Informationsrisiken
- Risikominderung
- Eintrittwahrscheinlichkeit
- Schadensausmaß
- Gefährdungen von Informationen
IT-Grundschutz/Kompendium/Elementaren Gefährdungen
- Beispiele
Gefährdung | Beschreibung |
---|---|
Unbefugter/unangemessener Zugriff | |
Unrechtmäßige Nutzung | |
Enthüllung | |
Unterbrechung | |
Löschung | |
Korruption | |
Änderung | |
Einsichtnahme | |
Aufzeichnung | |
Entwertung |
- Maßnahmen zur Verringerung der nachteiligen Auswirkungen solcher Vorfälle
- Geschützte Informationen können jede Form annehmen, etwa elektronisch oder physisch, materiell (etwa Papier) oder immateriell (etwa Wissen)
- CIA-Trias Ausgewogenen Schutz
Grundwert | English | Abkürzung |
---|---|---|
Datenvertraulichkeit | ||
Datenintegrität | ||
Datenverfügbarkeit |
- Schwerpunkt
- Effiziente Umsetzung von Richtlinien
- ohne die Produktivität der Organisation zu beeinträchtigen
- Risikomanagement-Prozess Strukturierter Risikomanagement-Prozess
- Identifizierung von Informationen und zugehörigen Vermögenswerten sowie potenziellen Bedrohungen, Schwachstellen und Auswirkungen;
- Bewertung der Risiken
- Entscheidung, wie mit den Risiken umzugehen ist, d.h
- sie zu vermeiden, abzuschwächen, zu teilen oder zu akzeptieren
- wenn eine Risikominderung erforderlich ist, Auswahl oder Entwurf geeigneter Sicherheitskontrollen und deren Implementierung
- Überwachung der Aktivitäten
- Anpassung an Probleme, Veränderungen und Verbesserungsmöglichkeiten
- Standardisierte Vorgehensweise
Um diese Disziplin zu standardisieren, arbeiten Akademiker und Fachleute zusammen, um Leitlinien, Richtlinien und Industriestandards zu Passwort, Antivirensoftware, firewall, Verschlüsselungssoftware, rechtliche Haftung, Sicherheitsbewusstsein und Schulung usw. anzubieten
Diese Standardisierung kann durch eine Vielzahl von Gesetzen und Vorschriften vorangetrieben werden, die sich darauf auswirken, wie Daten abgerufen, verarbeitet, gespeichert, übertragen und vernichtet werden
- Die Umsetzung von Standards und Leitlinien innerhalb einer Organisation kann jedoch nur begrenzte Wirkung haben, wenn keine Kultur der Kontinuierliche Verbesserung eingeführt wird
Definition
Attribute
- Attribute der Informationssicherheit (CIA)
Informationssysteme
- Hauptteile von Informationssystemen
- Hardware
- Software
- Kommunikation
- Ziel
Informationssicherheits-Industriestandards als Schutz- und Präventionsmechanismen auf drei Ebenen oder Schichten zu identifizieren und anzuwenden:
- physikalisch
- persönlich
- organisatorisch
Richtlinien
Verfahren und Richtlinien implementieren
- Administratoren, Benutzern und Betreibern mitteilen, wie Produkte verwendet werden sollen
- Um die Informationssicherheit innerhalb der Organisationen zu gewährleisten
Definitionen von Informationssicherheit
Definition | Beschreibung | Quelle |
---|---|---|
Vertraulichkeit, Integrität und Verfügbarkeit von Informationen |
Weitere Eigenschaften | ISO/IEC 27000 |
Schutz von Informationen/Informationssystemen |
vor unbefugtem Zugriff, Verwendung, Offenlegung, Störung, Änderung oder Zerstörung, um Vertraulichkeit, Integrität und Verfügbarkeit zu gewährleisten | CNSS, 2010 |
Nur autorisierte Benutzer | (Vertraulichkeit) bei Bedarf Zugang zu genauen und vollständigen Informationen (Integrität) haben (Verfügbarkeit) | ISACA, 2008 |
Ist ein Prozess | des Schutzes des geistigen Eigentums einer Organisation | Pipkin, 2000 |
Disziplin des Risikomanagements | deren Aufgabe es ist, die Kosten des Informationsrisikos für das Unternehmen zu verwalten | McDermott und Geer, 2001 |
Gut informiertes Gefühl der Sicherheit |
dass Informationsrisiken und -kontrollen im Gleichgewicht sind | Anderson, J., 2003 |
Schutz von Informationen | minimiert das Risiko, dass Informationen Unbefugten zugänglich gemacht werden | Venter und Eloff, 2003 |
- Multidisziplinäres Studien- und Berufsfeld
Das sich mit der Entwicklung und Umsetzung von Sicherheitsmechanismen aller verfügbaren Arten (technisch, organisatorisch, menschlich und rechtlich) befasst, um Informationen an all ihren Orten (innerhalb und außerhalb der Unternehmensgrenzen) und folglich auch Informationssysteme, in denen Informationen erstellt, verarbeitet, gespeichert, übertragen und vernichtet werden, vor Bedrohungen zu schützen
- Bedrohungskategorien
Bedrohungen für Informationen und Informationssysteme können in Kategorien eingeteilt werden, und für jede Kategorie von Bedrohungen kann ein entsprechendes Sicherheitsziel definiert werden
- Ein Satz von Sicherheitszielen, der als Ergebnis einer Bedrohungsanalyse ermittelt wurde, sollte regelmäßig überarbeitet werden, um seine Angemessenheit und Konformität mit dem sich entwickelnden Umfeld sicherzustellen
- Relevanter Satz von Sicherheitszielen
- Vertraulichkeit
- Integrität
- Verfügbarkeit
- Datenschutz
- Authentizität
- Vertrauenswürdigkeit
- Nichtabstreitbarkeit
- Rechenschaftspflicht
- Überprüfbarkeit
Die Sicherheit von Informationen und Informationsressourcen unter Verwendung von Telekommunikationssystemen oder -geräten bedeutet den Schutz von Informationen, Informationssystemen oder Büchern vor unbefugtem Zugriff, Beschädigung, Diebstahl oder Zerstörung
Verfahren
Informationssicherheit/Verfahren
Beschreibung
Verfahren | Beschreibung |
---|---|
Sicherheits-Governance | |
Vorfallsreaktionspläne | |
Änderungsmanagement |
Sorgfaltspflicht
„Vernünftige und umsichtige Person“, „Sorgfaltspflicht“
- Lange in Bereichen Finanzen, Wertpapiere und Recht verwendet
- In den vergangenen Jahren haben diese Begriffe auch in den Bereichen Informatik und Informationssicherheit Einzug gehalten
Einhaltung von Gesetzen und Vorschriften
Aktionäre, Kunden, Geschäftspartner und Regierungen erwarten
- dass die Unternehmensleitung das Unternehmen in Übereinstimmung mit anerkannten Geschäftspraktiken und unter Einhaltung von Gesetzen und anderen Vorschriften führt
- Dies wird oft als die Regel der „vernünftigen und umsichtigen Person“ beschrieben
- Eine umsichtige Person achtet darauf, dass alles Erforderliche getan wird, um das Unternehmen nach soliden Geschäftsprinzipien und auf legale, ethische Weise zu führen
- Eine umsichtige Person ist auch gewissenhaft (aufmerksam, fortlaufend) in ihrer Sorgfaltspflicht gegenüber dem Unternehmen
"due care" und "due diligence"
Im Bereich der Informationssicherheit bietet Harris die folgenden Definitionen der Begriffe "due care" und "due diligence" an:
- "Due care are steps that are taken to show that a company has taken responsibility for the activities that take place within the corporation and has taken the necessary steps to help protect the company, its resources, and employees."
Und [Due Diligence sind die] "kontinuierliche Aktivitäten, die sicherstellen, dass die Schutzmechanismen kontinuierlich aufrechterhalten werden und funktionsfähig sind."'
- Bei diesen Definitionen sollten zwei wichtige Punkte beachtet werden
- Erstens werden bei der Sorgfaltspflicht Schritte unternommen, die sich nachweisen lassen; das bedeutet, dass die Schritte überprüft und gemessen werden können oder sogar greifbare Artefakte hervorbringen
- Dies bedeutet, dass Menschen tatsächlich etwas tun, um die Schutzmechanismen zu überwachen und aufrechtzuerhalten, und dass diese Aktivitäten fortlaufend sind
Verantwortung
Organisationen haben eine Verantwortung
- Sorgfaltspflicht bei der Anwendung der Informationssicherheit praktizieren
- Der Duty of Care Risk Analysis Standard (DoCRA) bietet Grundsätze und Praktiken für die Bewertung von Risiken
- Dabei werden alle Parteien berücksichtigt, die von diesen Risiken betroffen sein könnten
- DoCRA hilft bei der Bewertung von Schutzmaßnahmen, ob diese geeignet sind, andere vor Schaden zu bewahren und gleichzeitig eine angemessene Belastung darstellen
- Angesichts der zunehmenden Rechtsstreitigkeiten im Zusammenhang mit Datenschutzverletzungen müssen Unternehmen ein Gleichgewicht zwischen Sicherheitskontrollen, Einhaltung der Vorschriften und ihrem Auftrag herstellen
Normen und Standards
ISO/27000
ISO/27000 - ISMS - Überblick und Terminologie
Beschreibung
ISO/IEC 27000 - Informationssicherheitsmanagementsystem - Überblick und Terminologie
- Informationstechnik - Sicherheitsverfahren - Informationssicherheits-Managementsysteme - Überblick und Terminologie
- Informativer Standard
- Einführung in ISO 27000 ff.
- Definition relevanter Begriffe
- Beschreibt Begriffe nicht abschließend
- Nicht alle Begriffe der ISO 27000 ff.
- Umsetzung eines ISMS
- Grundsätze
- Generelle Aussagen zur Anwendung, Bedeutung und Wirkung der ISO 27000 ff.
- Aufzählung der wesentlichen Schritte für die Umsetzung des ISMS
- ISO/IEC 2700X/270XX
- Internationale Standard Familie
- Baut auf ISO 17799 und dem British Standard BS 7799 auf
- Diese Standards unterliegen häufigen Änderungen
- Über 20 Normen zu Informationssicherheit
- Best-Practice-Lösungen
- Kriterienkataloge
- Aspekte
Regeln und Richtlinien zur Informationssicherheit |
Organisation von Sicherheitsmaßnahmen und Managementprozessen |
Personelle Sicherheit |
Asset-Management |
Physikalische Sicherheit und Zugangsdienste |
Zugriffskontrolle (Access Control) |
Umgang mit sicherheitstechnischen Vorfällen |
Systementwicklung und deren Wartung |
Planung einer Notfallvorsorge |
Einhaltung gesetzlicher Vorgaben |
Überprüfung durch Audits |
- Standards zur Informationssicherheit
- International Organization for Standardization (ISO)
- International Electrotechnical Commission (IEC)
- Zusammenarbeit von ISO und IEC
- Standards zur Informationssicherheit unter dem Nummernkreis 2700x Information technology – Security techniques zusammengefasst
- Der deutsche Anteil an dieser Normungsarbeit wird vom DIN NIA-01-27 IT-Sicherheitsverfahren betreut
- Für die Evaluierung und Zertifizierung von IT-Produkten und -systemen existiert der Standard ISO/IEC 15408 (Common Criteria).
- ISMS
- Information Security Management System
- Best-Practice-Empfehlungen zur Organisation der Informationssicherheit
Normen
Informationssicherheits-Managementsysteme
Informationssicherheits-Managementsysteme (2700X)
ISO/IEC | Beschreibung | |
---|---|---|
27000 | Übersicht und Vokabular | Begriffe und Definitionen |
27001 | Anforderungen | Anforderungen an ein ISMS |
27002 | Code of practice | Kontrollmechanismen für Informationssicherheit |
27003 | Implementation Guidelines | Leitfaden zur Umsetzung der ISO/IEC 27001 |
27004 | Measurements | Information Security Management Measurement |
27005 | Information security risk management | IS-Risikomanagement |
27006 | Informationstechnik - Sicherheitstechniken - Anforderungen | Kriterien der Auditierung und Zertifizierung |
27007 | Informationstechnik - Sicherheitstechniken - Leitfaden | Leitfaden für die Auditierung |
27008 | Informationstechnik - Sicherheitstechniken - Leitfaden für Auditoren | Kontrolle eines ISMS |
Fachspezifische Normen
Fachspezifische Subnormen (270XX)
ISO/IEC | Beschreibung |
---|---|
27010 | Informationssicherheitsmanagement für sektor- und organisationsübergreifende Kommunikation |
27011 | Informationssicherheitsmanagement-Richtlinien für Telekommunikationsorganisationen |
27013 | Integrierte Implementierung von ISO/IEC 20000-1 und ISO/IEC 27001 |
27014 | Governance der Informationssicherheit |
27015 | Informationssicherheitsmanagement für Finanzdienstleistungen (zurückgezogen) |
27016 | Auditing und Überprüfungen |
27017 | Sicherheitstechniken - Verhaltenskodex - Informationssicherheitskontrollen für Cloud-Computing-Dienste |
27018 | Sicherheitstechniken - Verhaltenskodex - Kontrollen zum Schutz personenbezogener Daten, die in öffentlichen Cloud-Computing-Diensten verarbeitet werden |
27019 | Informationssicherheitsmanagement basierend auf ISO/IEC 27002 für Prozessleitsysteme speziell für die Energiewirtschaft |
27031 | Geschäftskontinuität |
27032 | Richtlinien für Cybersecurity |
27033 | Netzwerksicherheit - Überblick und Konzepte |
27034 | Richtlinien für Anwendungssicherheit |
27035 | Management von Informationssicherheitsvorfällen |
Weitere
ISO/IEC | Beschreibung |
---|---|
15408 | Common Criteria |
22301 | Business Continuity Management |
27799 | Sicherheitsmanagement im Gesundheitswesen bei Verwendung der ISO/IEC 27002 |
31000 | Risikomanagement |
Übersicht
- ISO/IEC 27000
Scope | Geltungsbereich |
Asset | Wert/Schutzobjekt |
SOA | Statement of Applicability |
RTP | Risk Treatment Plan |
BCP | Business Continuity-Plan |
Logs | Log Files |
Ausbildung und Zertifizierung
Option | Beschreibung |
---|---|
Organisationen | Ein Information Security Management System kann gegen den normativen Teil ISO/IEC 27001 geprüft und zertifiziert werden |
Personen | Für Personen existieren verschiedene Schemata zur Ausbildung und Zertifizierung
|
BSI-Standards
BSI/Standard - Vom BSI veröffentlichte Standards
Beschreibung
Standards | |
---|---|
200-1 | Anforderungen an ein ISMS |
200-2 | Umsetzung der Anforderungen |
200-3 | Risikoanalyse |
200-4 | Business Continuity Management |
Kompendium | |
Kapitel 1 | IT-Grundschutz/Kompendium/Vorspann |
Kapitel 2 | Schichtenmodell / Modellierung |
Elementare Gefährdungen |
Elementare Gefährdungen |
Schichten | Prozesse Systeme |
- IT-Grundschutz (ISMS)
- Business Continuity Management (BCMS)
- IT-Sicherheit (IT-Grundschutz/Kompendium)
Version 200
Standard | Titel | Status | Beschreibung |
---|---|---|---|
200-1 | Managementsysteme für Informationssicherheit | Standard | Information Security Management System |
200-2 | IT-Grundschutz-Methodik | Standard | Vorgehensweise |
200-3 | Risikomanagement | Standard | Risikoanalyse |
200-4 | Business Continuity Management | Standard | Notfallmanagement |
IT-Grundschutz
IT-Grundschutz - Vorgehensweise zum Aufbau eines Informationssicherheits-Managementsystem (ISMS)
Beschreibung
Standards | |
---|---|
200-1 | Anforderungen an ein ISMS |
200-2 | Umsetzung der Anforderungen |
200-3 | Risikoanalyse |
200-4 | Business Continuity Management |
Kompendium | |
Kapitel 1 | IT-Grundschutz/Kompendium/Vorspann |
Kapitel 2 | Schichtenmodell / Modellierung |
Elementare Gefährdungen |
Elementare Gefährdungen |
Schichten | Prozesse Systeme |
Identifizieren und Umsetzen von Sicherheitsmaßnahmen
- Bestandteile
Standards | Vorgehen zur Gewährleistung von Informationssicherheit, Organisatorischer Rahmen |
Kompendium | mit dem die in den Standards formulierten allgemeinen Empfehlungen zum Management von Informationssicherheit konkretisiert und umgesetzt werden können |
- Sicherheitsniveau
- Mittel
- Im Allgemeinen ausreichend und angemessen
- Erweiterbar für erhöhten Schutzbedarf
Anforderungen
Bereich | Beschreibung |
---|---|
Technisch | Geräte, Netzwerke, Strukturen, ... |
Infrastrukturell | Räume, Gebäude, Gelände, Strom, Wasser, Zuwege, Netzanbindung, Brandschutz, ... |
Organisatorisch | Ablauforganisation, Aufbauorganisation |
Personell | Rollen, Zuständigkeiten, Schnittstellen, Informationsaustausch, ... |
Zertifizierung
- ISO/IEC 27001-Zertifikat auf Basis von IT-Grundschutz
Nachweis eines
- Systematischen Vorgehens (Informationssicherheits-Managementsystem (ISMS))
- Absicherung von IT-Systemen gegen Gefährdungen
Bedeutung von Informationen
- Wichtigkeit und Bedeutung von Informationen
Für Unternehmen und Behörden ist es unerlässlich, dass Informationen
- korrekt vorliegen
- vertraulich behandelt werden
- Entsprechend wichtig ist, dass
Technischen Systeme, mit denen Informationen gespeichert, verarbeitet oder übertragen werden
- reibungslos funktionieren
- wirksam gegen vielfältige Gefährdungen geschützt sind
IT-Grundschutz des BSI
- Grundlage
- Herausforderungen professionell gerecht werden
- Bemühungen für Informationssicherheit strukturieren
- IT-Grundschutz ermöglicht
- Systematische Schwachstellensuche
- Prüfen der Angemessenheit von Schutzmaßnahmen
- Sicherheitskonzepte entwickeln und fortschreiben
- passend zu den Geschäftsprozessen, Fachaufgaben und Organisationsstrukturen einer Institution
- Allgemein anerkannten Standards zu genügen
- Best Practice
Wege zur Informationssicherheit
Es gibt viele Wege zur Informationssicherheit
- Mit dem IT-Grundschutz haben Sie die Möglichkeit, dieses Ziel effizient zu erreichen, unterwegs Umwege zu vermeiden und mögliche Gefährdungen im Blick zu behalten
- Grundschutz will nicht nur eine Landkarte, sondern ein Wegweiser für Informationssicherheit sein
Herausforderungen
Herausforderung | Beschreibung |
---|---|
Komplexität | Komplexität der Gefährdungslage
|
Ganzheitlichkeit | Ganzheitlichkeit der Sicherheitskonzepte
|
Zusammenwirken | Zusammenwirken der Sicherheitsmaßnahmen
|
Angemessenheit | Angemessenheit der Sicherheitsmaßnahmen
|
Externe Anforderungen | Erfüllung externer Anforderungen
|
Nachhaltigkeit | Nachhaltigkeit der Sicherheitsmaßnahmen
|
Konzept
- Verzicht auf initiale Risikoanalysen
Pauschale Gefährdungen
- Auf die differenzierte Einteilung nach Schadenshöhe und Eintrittswahrscheinlichkeit wird zunächst verzichtet
Schutzbedarf
- Drei Schutzbedarfskategorien
Schutzbedarf des Untersuchungsgegenstandes festlegen
Kategorie | Schaden |
---|---|
Normal | überschaubar |
Hoch | beträchtlich |
Sehr Hoch | existenzgefährdend |
Anforderungen
- Sicherheitsmaßnahmen
Passende Sicherheitsmaßnahmen auswählen
- personell
- technisch
- organisatorisch
- infrastrukturell
Kochrezepte
- Basierend auf dem IT-Grundschutz-Kompendium
BSI-Standard 200-2 bietet „Kochrezepte“ für ein Normales Schutzniveau
- Eintrittswahrscheinlichkeit und Schadenshöhe
Dabei werden neben Eintrittswahrscheinlichkeiten und potenzieller Schadenshöhe auch die Kosten der Umsetzung berücksichtigt
- IT-Grundschutz-Kompendium
Durch die Verwendung des IT-Grundschutz-Kompendiums entfällt eine aufwendige Sicherheitsanalyse
- das Expertenwissen erfordert
- da anfangs mit pauschalisierten Gefährdungen gearbeitet wird
- Es ist möglich, auch als relativer Laie die zu ergreifenden Maßnahmen zu identifizieren und in Zusammenarbeit mit Fachleuten umzusetzen
- Erfolgreiche Umsetzung
Als Bestätigung für das erfolgreiche Umsetzen des Grundschutzes zusammen mit dem Etablieren eines Informationssicherheitsmanagementsystems (ISMS) wird vom BSI ein Zertifikat ISO/IEC 27001 auf Basis von IT-Grundschutz vergeben
- Basis dieses Verfahrens sind die neuen BSI-Sicherheitsstandards
- Dieses Verfahren trägt einer Entwicklung Rechnung, die bereits seit einiger Zeit vorherrscht
- Unternehmen, die sich nach dem ISO/IEC 27001-Standard zertifizieren lassen, sind zur Risikoanalyse verpflichtet
- Um es sich komfortabler zu gestalten, wird meist auf die Schutzbedarfsfeststellung gemäß IT-Grundschutz-Katalogen ausgewichen
- Der Vorteil ist sowohl das Erreichen der Zertifizierung nach ISO/IEC 27001, als auch eine Konformität zu den strengen Richtlinien des BSI
- Darüber hinaus bietet das BSI einige Hilfsmittel wie Musterrichtlinien an
- Datenschutz
Es liegt auch ein Baustein für den Datenschutz vor, der von dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit in Zusammenarbeit mit den Datenschutzbehörden der Länder erarbeitet und in die IT-Grundschutz-Kataloge integriert wurde
- Dieser Baustein findet jedoch als nationale Ausprägung im Zertifizierungsverfahren für eine internationale Norm keine Berücksichtigung
Sicherheitskonzept
Sicherheitskonzept - Analyse möglicher Angriffs- und Schadenszenarien um ein definiertes Schutzniveau zu erreichen
Beschreibung
auch "SiKo"
- Security
- Sicherheit gegenüber böswilligen Angriffen
- Safety
- Sicherheit gegenüber menschlichem und technischem Versagen
Strukturierte Vorgehensweise
- Bestimmung
- Schutzziele
- Zu schützende Objekte
- Bedrohungen / Schadensszenarien / Gefahren
- Analyse
- Bewertung von Eintrittswahrscheinlichkeit und potenzieller Schadensschwere sowie Ermittlung des Schadenserwartungswerts
- Entwicklung von Maßnahmen zur Reduzierung der Eintrittswahrscheinlichkeit/Schadenshöhe
- Planung von Maßnahmen und Bereitstellung von Mitteln zur Schadensbekämpfung und -eindämmung, wenn das Risiko schlagend wird
- Festlegung, Genehmigung und – falls nötig und möglich – versicherungstechnische Absicherung des akzeptablen Restrisikos
- Risiken können nicht komplett ausgeschlossen werden
- Auch ein ausgefeiltes Sicherheitskonzept ist nicht in der Lage, das Restrisiko komplett auszuschließen.
- Krisen- und Katastrophenmanagements
Deswegen hat ein Krisen- und Katastrophenmanagement das Ziel, Folgen für Leben und Sachwerte so gut wie möglich zu minimieren.
- Beispiele
Beispiel | Beschreibung |
---|---|
Informationstechnologie | Informationssicherheit und Datenschutzkonzept |
Kernkraftwerke | Reaktorsicherheit |
Rettungskräfte | (Anzahl und Material) bei Veranstaltungen, siehe auch Maurer-Schema. In Versammlungsstätten mit mehr als 5000 Besucherplätzen ist laut Versammlungsstättenverordnung vom Betreiber ein Sicherheitskonzept aufzustellen. Hierbei gibt es in den verschiedenen Bundesländern unterschiedliche Versammlungsstättenregelungen oder sie beziehen sich auf die Musterversammlungsstättenverordnung 2005. Gemäß der Gesetzgebung im Rahmen der Verkehrssicherungspflicht ist jedoch ständig eine Risikoanalyse im Kontext eines Sicherheitskonzepts zu erstellen |
Versammlungsstätten | In Versammlungsstätten hat zudem der Betreiber nach §43 MVStättV ein Sicherheitskonzept vorzulegen, wenn die Art der Veranstaltung es erfordert |
Großveranstaltungen | Für die Genehmigung von Großveranstaltungen nach § 31 Hamburgisches SOG. |
Automobilindustrie | Verkehrssicherheit und Verkehrssicherungswesen |
Personenschutz und Objektschutz | |
Gebäudeabsicherung | Gefahrenanalyse mithilfe des SERATE-Konzepts |
Vorgehen
- IT-Grundschutz-Vorgehen
Geltungsbereich
Informationsverbund - Im IT-Grundschutz betrachteter Bereich
Beschreibung
IT-Sicherheitsanalyse und IT-Sicherheitskonzeption
- Informationstechnik ist durch vernetzte IT-Systeme geprägt
- Gesamte IT betrachten
- Nicht einzelne IT-Systeme
- Teilverbünde definieren
Teile und Herrsche
- Um diese Aufgabe bewältigen zu können, ist es sinnvoll
- IT-Struktur in logisch getrennte Teile zerlegen
- Jeweils einen Teil (Informationsverbund) getrennt betrachten
- Ausprägungen
Informationsverbund
- gesamte IT einer Institution
- einzelne Bereiche
- Gliederung
- Organisatorische Strukturen
- z. B. Abteilungsnetz
- Gemeinsame IT-Anwendungen
- z. B. Personalinformationssystem
- IT-Strukturanalyse
- Detaillierte Informationen über die Struktur des Informationsverbundes
- Voraussetzung für die Anwendung des IT-Grundschutz/Kompendiums
- Komponenten
Komponente | Beschreibung |
---|---|
Infrastruktur | |
Organisation | |
Personen | |
Technik |
Festlegung eines Informationsverbundes
Größe
- Sinnvolle Mindestgröße
- Für eine umfassende Sicherheit ist die gesamte Institution zu betrachten
- Größeren Institutionen
Insbesondere bei größeren Institutionen und dann, wenn Sicherheitsmaßnahmen bislang eher punktuell und ohne ein zugrunde liegendes systematisches Konzept vorgenommen wurden, ist es allerdings oft praktikabler sich (zunächst) auf Teilbereiche zu konzentrieren.
Teilbereiche
- Gut abgrenzbar
- organisatorischen Strukturen
- Anwendungen
- Wesentliche Aufgaben und Geschäftsprozesse der Institution umfassen
- Sinnvolle Teilbereiche
- Organisationseinheiten
- Geschäftsprozesse/Fachaufgaben
Einzelne Clients, Server oder Netzverbindungen sind als Untersuchungsgegenstand ungeeignet
Schnittstellen
Bei der Definition des Informationsverbundes müssen Schnittstellen genau beschrieben werden
- Insbesondere bei der Zusammenarbeit mit externer Partnern
Erstaufnahme des Informationsverbundes
- In der initialen Phase des Sicherheitsprozesses ist es nicht erforderlich, Anwendungen und -Infrastruktur detailliert zu beschreiben.
- Zunächst geht es vielmehr darum, besonders wichtige Geschäftsprozesse, die im Geltungsbereich des Konzepts angesiedelt sind, hinsichtlich ihrer Anforderungen an die Informationssicherheit zu charakterisieren.
- Dabei reicht es zu wissen, welche Prozesse sehr hohe, hohe oder lediglich normale Schutzanforderungen haben.
- Erstaufnahme des Informationsverbundes
Auf dieser Basis wird dann eine Erstaufnahme des Informationsverbundes angefertigt
- Folgende Informationen und Detailangaben müssen dabei strukturiert ( tabellarisch) zusammengetragen werden
- Geschäftsprozesse im Informationsverbund (Name, Beschreibung, fachverantwortliche Stelle),
- Anwendungen in diesen Prozessen (Name und Beschreibungen),
- -Systeme und -Komponenten (Name, Systemplattform und eventuell Aufstellungsort),
- für den Informationsverbund wichtige Räume wie Rechenzentrum oder Serverräume (Art, Raumnummer und Gebäude) sowie
- virtuelle Systeme (entsprechend gekennzeichnet und benannt).
Ein grafischer Netzplan ist eine hilfreiche Ergänzung zur tabellarischen Zusammenstellung der -Systeme
- Die ermittelten Komponenten, wie auch der Informationsverbund als Ganzes, sind Zielobjekte des Sicherheitskonzepts
- Bereits vor dessen eigentlicher Entwicklung sollten Sie einschätzen, welches Schutzniveau für die verschiedenen Zielobjekte erforderlich ist, die Sie bei der Erstaufnahme identifiziert haben.
Absicherung
Absicherung-Varianten - Einstiegswege in den IT-Grundschutz
- Absicherung-Varianten
Absicherung | Beschreibung |
---|---|
Basis |
|
Standard |
|
Kern |
|
- Voraussetzungen, Ausgangspunkte und Ziele
- Sicherheitsniveau gemäß
- Institution
- Anforderungen
- Gegebenheiten
Unterschiedliche Institutionen haben auch unterschiedliche Voraussetzungen und Ausgangspunkte für eine ganzheitliche Umsetzung von Informationssicherheit
- So haben insbesondere kleinere und mittelgroße Institutionen oft nicht die personellen und finanziellen Ressourcen für eine umfassende Absicherung in einem Schritt
- Für sie kann es daher zielführender sein, sich zunächst auf die Umsetzung elementarer Sicherheitsmaßnahmen oder die gezielte Absicherung besonders schützenswerter Bereiche zu konzentrieren
- Organisatorische Grundlagen
Die Entscheidung für eine dieser Vorgehensweisen und ihre Anwendung setzt voraus, dass eine Institution gewisse organisatorische Grundlagen geschaffen hat
Basis
Basis-Absicherung - Einstieg in das Management der Informationssicherheit
- Einfacher Einstieg in das systematische Management der Informationssicherheit
- Ohne differenzierte Bewertungen des Schutzbedarfs und ergänzende Risikoanalysen Sicherheitsniveau signifikant erhöhen
- Erfüllung besonders wichtiger Basis-Anforderungen
- Leitfaden zur Basis-Absicherung
Drei Schritten zur Informationssicherheit
- Kompakter und übersichtlicher Einstieg
- Für kleine und mittlere Unternehmen und Behörden
- Vorgehen
Standard
Standard-Absicherung - Beschreibung
- Umfassende Absicherung
- Systematische Strukturanalyse
- Erfassung der verschiedenen Komponenten
- Festlegung des Informationsverbundes (Scope)
- Bewertung des Schutzbedarfs
- Zusätzliche Risikoanalysen
- Vorgehen
Kern
Kern-Absicherung - Konzentration auf Kronjuwelen
- Umfasst alle Schritte der Standard-Absicherung
- Konzentriert sich auf
- ausgewählte
- besonders wichtige Bereiche
- Kronjuwelen
Strukturanalyse
Strukturanalyse - Struktur der vorliegenden Informationstechnik analysieren und dokumentieren
Beschreibung
Für die Erstellung eines IT-Sicherheitskonzepts und insbesondere für die Anwendung des IT-Grundschutz/Kompendiums ist es erforderlich, die Struktur der vorliegenden Informationstechnik zu analysieren und zu dokumentieren.
- Netztopologieplan
Ausgangsbasis
- Aufgrund der heute üblichen starken Vernetzung von IT-Systemen bietet sich ein Netztopologieplan als Ausgangsbasis für die Analyse an.
- Aspekte
- Infrastruktur
- Organisatorischen und personellen Rahmenbedingungen
- Eingesetzte vernetzte und nicht vernetzte IT-Systeme
- Kommunikationsverbindungen zwischen den IT-Systemen und nach außen
- Betriebene IT-Anwendungen
- Arbeitsschritte
Arbeitsschritt | Beschreibung |
---|---|
Geltungsbereich | IT-Grundschutz/Informationsverbund |
Geschäftsprozesse | IT-Grundschutz/Strukturanalyse/Geschäftsprozesse |
Netzplan | IT-Grundschutz/Strukturanalyse/Netzplan |
Gruppierung | IT-Grundschutz/Strukturanalyse/Gruppierung |
Anwendungen | IT-Grundschutz/Strukturanalyse/Anwendungen |
Systeme | IT-Grundschutz/Strukturanalyse/Systeme |
Räume | IT-Grundschutz/Strukturanalyse/Räume |
Zielobjekte
Schutzbedarf
IT-Grundschutz/Schutzbedarf - Festlegung der Sicherheitsanforderungen
Beschreibung
- Ziele
Festlegung der Sicherheitsanforderungen
- Grundlage für die Auswahl angemessener Sicherheitsmaßnahmen
Schutzbedarf für Zielobjekte
Begründete und nachvollziehbare Einschätzung des Schutzbedarfs
Welche Zielobjekte
- Benötigen mehr Sicherheit?
- Bei welchen genügen die Standard-Anforderungen?
Arbeitsschritte
Schritt | Titel | Beschreibung |
---|---|---|
1 | Definitionen | Schadensszenarien und Schutzbedarfskategorien festlegen |
2 | Schutzbedarf festlegen | Schutzbedarf Zielobjekte ermitteln/festlegen |
3 | Abhängigkeiten berücksichtigen | Auswirkung von Abhängigkeiten zwischen den Zielobjekten auf die Ergebnisse der Schutzbedarfsfeststellung |
4 | Schlussfolgerungen | Schlussfolgerungen aus den Ergebnissen der Schutzbedarfsfeststellung |
Basis-Absicherung
Schutzbedarfsfeststellung nicht erforderlich
Bei der Basis-Absicherung sind für den Informationsverbund nur die Basis-Anforderungen verpflichtend
- Daher ist eine Schutzbedarfsfeststellung bei dieser Variante der IT-Grundschutz-Methodik nicht erforderlich
Fragen bei der Schutzbedarfsfeststellung
Welcher Schaden kann entstehen, wenn für ein Zielobjekt die Grundwerte verletzt werden
Vertraulichkeit | Vertrauliche Informationen werden unberechtigt zur Kenntnis genommen oder weitergegeben |
Integrität | Korrektheit der Informationen oder die Funktionsweise von Systemen ist nicht mehr gegeben |
Verfügbarkeit | Autorisierte Benutzer werden am Zugriff auf Informationen und Systeme behindert |
Drohender Schaden
- Der Schutzbedarf eines Objekts bezüglich eines dieser Grundwerte orientiert sich an dem Ausmaß des bei Verletzungen jeweils drohenden Schadens
- Da dessen Höhe in der Regel vorab nicht genau bestimmt werden kann, sollten Sie eine für Ihren Anwendungszweck passende Anzahl von Kategorien definieren, anhand derer Sie den Schutzbedarf unterscheiden
Schutzbedarfskategorien
Die IT-Grundschutz-Methodik empfiehlt hierfür drei Schutzbedarfskategorien
Schutzbedarfskategorie | Beschreibung |
---|---|
normal | Schadensauswirkungen begrenzt und überschaubar |
hoch | Schadensauswirkungen beträchtlich |
sehr hoch | Schadensauswirkungen können existenzbedrohend sein, katastrophales Ausmaß |
Schadensszenarien
Der Schaden, der von einer Verletzung der Grundwerte ausgehen kann, kann sich auf verschiedene Schadensszenarien beziehen
Schadensszenario |
---|
Verstöße gegen Gesetze, Vorschriften oder Verträge |
Beeinträchtigungen des informationellen Selbstbestimmungsrechts |
Beeinträchtigungen der persönlichen Unversehrtheit |
Beeinträchtigungen der Aufgabenerfüllung |
negative Innen- oder Außenwirkung |
finanzielle Auswirkungen |
- Bedeutung der Szenarien
Wie wichtig ein Szenario jeweils ist, unterscheidet sich von Institution zu Institution
- Unternehmen schauen beispielsweise besonders intensiv auf die finanziellen Auswirkungen eines Schadens, da diese bei einer entsprechenden Höhe existenzgefährdend sein können
- Für eine Behörde kann es hingegen besonders wichtig sein, das öffentliche Ansehen zu wahren und daher negative Außenwirkungen zu vermeiden
Schutzbedarfskategorien
IT-Grundschutz/Schutzbedarf/Kategorien
Schutzbedarfsfeststellung
- Zweck
Ermittlung, welcher Schutz für die Informationen und die eingesetzte Informationstechnik ausreichend und angemessen ist
- Hierzu werden für jede Anwendung und die verarbeiteten Informationen die zu erwartenden Schäden betrachtet
- die bei einer Beeinträchtigung von Vertraulichkeit, Integrität oder Verfügbarkeit entstehen können
- Realistische Einschätzung
Wichtig ist dabei auch eine realistische Einschätzung der möglichen Folgeschäden
- Bewährt hat sich eine Einteilung in die drei Schutzbedarfskategorien „normal“, „hoch“ und „sehr hoch“[1]
- Bei der Vertraulichkeit wird häufig auch „öffentlich“, „intern“ und „geheim“ verwendet
- Schutzbedarf für Server
Der Schutzbedarf für einen Server richtet sich nach den Anwendungen, die auf ihm laufen
- Hierbei ist zu beachten, dass auf einem IT-System mehrere IT-Anwendungen laufen können, wobei die Anwendung mit dem höchsten Schutzbedarf die Schutzbedarfskategorie des IT-Systems bestimmt (sogenanntes Maximumprinzip)
Es kann sein, dass mehrere Anwendungen auf einem Server laufen, die einen niedrigen Schutzbedarf haben – mehr oder weniger unwichtige Anwendungen
- In ihrer Summe sind diese Anwendungen jedoch mit einem höheren Schutz zu versehen (Kumulationseffekt)
Umgekehrt ist es denkbar, dass eine IT-Anwendung mit hohem Schutzbedarf diesen nicht automatisch auf das IT-System überträgt, da dieses redundant ausgelegt ist oder da auf diesem nur unwesentliche Teile laufen (Verteilungseffekt)
- Dies ist z. B. bei Clustern der Fall
Vorgehen und Vererbung
- Objekte im Informationsverbund werden eingesetzt, um Geschäftsprozesse und Anwendungen zu unterstützen
- Daher hängt der Schutzbedarf eines Objekts vom Schutzbedarf derjenigen Geschäftsprozesse und Informationen ab, für deren Bearbeitung es benötigt wird
- Zunächst wird deshalb der Schutzbedarf der Geschäftsprozesse und zugehörigen Informationen bestimmt
- Deren Schutzbedarf vererbt sich auf den der Anwendungen, Systeme, Räume und Kommunikationsverbindungen
- Vererbung
- Es lassen sich, folgende Fälle unterscheiden
- Beispiel
- Systeme
Option | Beschreibung |
---|---|
Maximumprinzip | In vielen Fällen lässt sich der höchste Schutzbedarf aller Anwendungen, die das System benötigen, übernehmen
|
Kumulationseffekt | Der Schutzbedarf des Systems kann höher sein als der Schutzbedarf der einzelnen Anwendungen
|
Verteilungseffekt | Der Schutzbedarf kann niedriger sein als der Schutzbedarf der zugeordneten Anwendungen, wenn eine Anwendung mit hohem Schutzbedarf auf mehrere Systeme verteilt ist und auf dem betreffenden System nur weniger wichtige Teile dieser Anwendung ausgeführt werden
|
Zielobjekte
Modellierung
IT-Grundschutz/Modellierung - Zuordnung von Grundschutz-Bausteinen zu Zielobjekte
Beschreibung
- IT-Grundschutz-Modell für einen Informationsverbund erstellen
- Sicherheitsanforderungen für Zielobjekte bestimmen
- Abhängigkeiten berücksichtigen
- Entwicklung des Grundschutz-Modells
Auf Basis des IT-Grundschutz/Kompendiums
- Modellierung
Anwendung der Bausteine IT-Grundschutz/Kompendiums auf die Komponenten eines Informationsverbundes
- IT-Grundschutz-Modell
Ergebnis | Beschreibung |
---|---|
Prüfplan | Bestehende Systeme und Verfahren |
Entwicklungskonzept | Geplante Teile des Informationsverbundes
|
Vorarbeiten
Arbeitsschritte | Beschreibung |
---|---|
Informationsverbund | Definition des Geltungsbereiches des Sicherheitskonzeptes |
Strukturanalyse | Identifikation der Zielobjekte |
Schutzbedarfsfeststellung | Schutzbedarf für Zielobjekte bestimmen |
Vorgehen
Grundschutz-Bausteine
- Auswahl Grundschutz-Bausteine
Welche Bausteine sind anzuwenden?
- Schichten
- Zielobjekte
- Ideal
- Alle Zielobjekte des Informationsverbundes werden angemessen durch Grundschutz-Bausteine abgebildet
Kein passender Baustein
Kein passender Baustein für Zielobjekt
- Risikoanalyse erforderlich
- Gefährdungen und Sicherheitsanforderungen identifizieren
- Dokumentation in einem Benutzerdefinierten Baustein
Abgrenzung von Bausteinen
Nicht jeder Baustein ist relevant
- Beispiele
- Baustein CON.7 Informationssicherheit auf Auslandsreisen
- nur anzuwenden, wenn solche Reisen im Informationsverbund vorkommen
- Technischer Bausteine
- Nur anzuwenden, wenn diese IT-Systemen eingesetzt werden
- z.B. SYS.2.2.2 Clients unter Windows 8.1
- Hinreichende Begründung
- Geben Sie in solchen Fällen eine hinreichende Begründung für die Nichtanwendung eines Bausteins an
- Kurz und aussagekräftig
Prozessorientierte Bausteine
- Technischen Aspekten übergeordnet
- Einheitlich Regelung je Informationsverbund
- Anwendung
- Einmal pro Informationsverbund
- Wichtige Bausteine
- Informationssicherheitsmanagement
- Organisation des IT-Betriebs
- Schulung und Sensibilisierung des Personals
- Detektion und Reaktion auf Sicherheitsvorfälle
Systemorientierte Bausteine
Anwendung
- Technische Objekte
- Auf jedes System (Gruppe) einmal anwenden, das im Baustein adressiert wird
- Mögliche Objekte
- Anwendungen
- IT-Systeme (z.B. Client, Server oder mobile Geräte)
- Objekte aus dem Bereich der industriellen IT
- Netze
- Infrastrukturobjekte (Räume, Rechenzentrum, Verkabelung)
Mehrere Bausteine
- Meist sind für IT-Systeme mehrere Bausteine anzuwenden
- Alle Sicherheitsanforderungen angemessen berücksichtigen
- Betriebssystemunabhängige Bausteine
Grundsätzliche Sicherheitsanforderungen
- SYS.2.1 Allgemeiner Client
- SYS.1.1 Allgemeiner Server
- Betriebssystemspezifische Bausteine
Anforderungen für einzelne Betriebssysteme
- SYS.2.2.3 Client unter Windows 10
- SYS.1.2.2 Windows Server 2012
- ...
- Beispiel: Webserver
Webserver mit Unix
- SYS.1.1 Allgemeiner Server
- SYS.1.3 Server unter Unix
- APP.3.2 Webserver
Virtuelle Systeme
- Virtuelle Systeme werden modelliert wie physische Systeme
- System
- Betriebssystem
- Anwendungen
- Dienste
- Beispiel
Wird ein Unix-Server als Virtualisierungsserver betrieben, so sind folgende Bausteine anzuwenden
- SYS.1.1 Allgemeiner Server
- SYS.1.3 Server unter Unix und
- SYS.1.5 Virtualisierung
- Physischen Server
Zusätzlich sind für jeden auf diesem physischen Server bereitgestellten virtuellen Server die üblichen Bausteine für Server anzuwenden.
- Bare Metal Server
Für auf spezieller Hardware beruhende Virtualisierungsserver (sogenannte Bare Metal Server) gibt es keinen passenden Grundschutz-Baustein.
- Solche IT-Systeme sind daher für eine Risikoanalyse vorzumerken
Dokumentation
- Beispiel
- In der Spalte Relevanz vermerken Sie, ob Bausteine für den Informationsverbund von Bedeutung sind oder nicht.
- Diese Entscheidung können Sie unter Begründung näher erläutern.
- Baustein nicht relevant
- Hinreichende Begründung unabdingbar!
- Dokumentation der Modellierung
Baustein | Zielobjekte | Relevanz | Begründung | Ansprechpartner |
---|---|---|---|---|
APP.5.2 Microsoft Exchange/Outlook | Ja | IT-Betrieb | ||
INF.1 Allgemeines Gebäude | Ja | Haustechnik | ||
INF.2 Rechenzentrum sowie Serverraum | Ja | IT-Betrieb | ||
INF.4 IT-Verkabelung | Informationsverbund | Ja | ||
INF.7 Büroarbeitsplatz | bis | Ja | ||
INF.8 Häuslicher Arbeitsplatz | Ja | Die Vertriebsbüros werden wie Home Offices behandelt. | ||
IND.2.2 Speicherprogrammierbare Steuerung (SPS) | Ja | |||
SYS.1.5 Virtualisierung | Ja | IT-Betrieb | ||
SYS.3.1 Laptops | bis | Ja | IT-Betrieb | |
OPS.3.1 Outsourcing für Dienstleister | Nein | Solche Dienste werden nicht angeboten. |
Siehe auch Modellierung für die RECPLAST
Anforderungen anpassen
- Grundschutz-Bausteine beschreiben Anforderungen
MUSS / SOLLTE
- was zu geschehen ist
- nicht aber, wie dies zu erfolgen hat
- Sicherheitsmaßnahmen
- Für die Ausarbeitung von Sicherheitskonzepten
- wie auch für ein Prüfkonzept
- ist es notwendig
- zu den einzelnen Anforderungen
- Geeignete Sicherheitsmaßnahmen formulieren
- Umsetzungshinweise
- Als Hilfsmittel hierfür gibt es zu den meisten Bausteinen des Grundschutz-Kompendiums Umsetzungshinweise
- Angemessene Maßnahmen
Bewertung | Beschreibung |
---|---|
wirksam | Vor möglichen Gefährdungen schützen und den festgelegten identifizierten Schutzbedarf abdecken |
geeignet | Tatsächlich umsetzbar sein, ohne
|
praktikabel | Leicht verständlich, einfach anzuwenden und wenig fehleranfällig |
akzeptabel | Barrierefrei, niemanden diskriminieren oder beeinträchtigen |
wirtschaftlich | Eingeführt und betrieben werden können, der mit ihrer Umsetzung verbundene Aufwand also in einem angemessenen Verhältnis zu den zu schützenden Werten steht. |
Standard-Absicherung
- Vorgehensweise Standard-Absicherung
- Neben verpflichtenden Basis-Anforderungen
- SOLLTEN in der Regel auch alle Standard-Anforderungen eines Bausteins erfüllt werden
- Ausnahmen
In Einzelfällen sind Ausnahmen möglich
- Wenn eine Anforderung nicht relevant ist
- Ihre Erfüllung mit der Erfüllung anderer Anforderungen im Widerspruch steht
Dies ist auch bei Basis-Anforderungen möglich
- Abweichungen sollten nachvollziehbar begründet werden
- Aufwand
- Für relevante, aber mit vertretbarem Aufwand nicht erfüllbare Anforderungen sollten Ersatzlösungen gefunden werden
IT-Grundschutz-Check
Grundschutz-Check - Soll-Ist-Vergleich zwischen geforderten und erfüllten Anforderungen
Beschreibung
- Motivation
Sind Informationen und Informationstechnik hinreichend geschützt?
- Was bleibt zu tun?
- Soll-Ist-Vergleich
- Anforderungen mit den umgesetzten Sicherheitsmaßnahmen
- Informationsverbund oder Komponente
- Umgesetzte Sicherheitsmaßnahmen mit den Anforderungen des entwickelten Grundschutz-Modells vergleichen
- Bestehendes Sicherheitsniveau identifizieren
- Verbesserungsmöglichkeiten aufzeigen
- Grundschutz-Modell
Grundlage des Grundschutz-Checks
- ist das in der Modellierung aufgrund der vorhandenen Zielobjekte und ihres Schutzbedarfs zusammengestellte Grundschutz-Modell des Informationsverbundes
- In diesem Modell ist festgelegt, welche Bausteine und damit Anforderungsbündel für die einzelnen Zielobjekte des Informationsverbundes anzuwenden sind
- Anforderungen
- Basisanforderungen
- Standardanforderungen
- Anforderungen für den erhöhten Schutzbedarf
- Vorgehensweise
Welche dieser Anforderungen Sie im Grundschutz-Check berücksichtigen, hängt von der Vorgehensweise der IT-Grundschutz-Methodik ab
- Bei der Vorgehensweise Basis-Absicherung prüfen Sie lediglich die Erfüllung der Basis-Anforderungen
- Bei den Vorgehensweisen Standard-Absicherung und Kern-Absicherung berücksichtigen Sie zusätzlich die Standard-Anforderungen
- Die Anforderungen für den erhöhten Schutzbedarf haben Beispielcharakter und können im Bedarfsfall durch andere Maßnahmen mit starker Schutzwirkung ersetzt oder ergänzt werden
- Sie prüfen diese Anforderungen also nur dann, wenn sie als Ergebnis einer Risikoanalyse in das Grundschutz-Modell aufgenommen wurden, also Bestandteil des Sicherheitskonzepts geworden sind
- siehe Risikoanalyse
- Anforderungen
Basis für den IT-Grundschutz-Check sind die Anforderungen aus dem IT-Grundschutz/Kompendium
- Aus der Strukturanalyse und der anschließenden Modellierung geht ein Modell des Informationsverbundes hervor, das alle relevanten Objekte mit den zugehörigen Bausteinen des IT-Grundschutz/Kompendiums enthält
- Aufgrund der nun vorliegenden Bausteine wird für jedes Objekt ermittelt, wie hoch der Erfüllungsgrad der in den Bausteinen enthaltenen Anforderungen ist
- Dies geschieht großenteils durch Interviews mit den Verantwortlichen der jeweiligen Bereiche
- Überblick über das vorhandene IT-Sicherheitsniveau
Der IT-Grundschutz-Check ist somit ein Organisationsinstrument, welches einen gebündelten Überblick über das vorhandene IT-Sicherheitsniveau bietet
- Als Ergebnis liegt ein Katalog vor, in dem für jede relevante Anforderung der Umsetzungsstatus „entbehrlich“, „ja“, „teilweise“ oder „nein“ erfasst ist
- Durch die Identifizierung von nicht oder nur teilweise umgesetzten Maßnahmen werden Verbesserungsmöglichkeiten für die Sicherheit der betrachteten Informationstechnik aufgezeigt
- Soll/Ist-Abgleich
Der IT-Grundschutz-Check gibt Auskunft über die noch fehlenden Maßnahmen (Soll/Ist-Abgleich)
- Daraus folgt, was noch zu tun ist, um das angestrebte Maß an Sicherheit zu erlangen
- Die Grundschutz-Methodik unterscheidet hier die Basis-, Standard- oder Kern-Absicherung
- Die Anforderungen des Kompendiums sind für die jeweilige Absicherungsmethode gekennzeichnet (Basis, Standard und für erhöhten Schutzbedarf)
- Hoher/sehr hoher Schutzbedarf
Für Systeme mit hohem/sehr hohem Schutzbedarf werden mitunter auch auf einer Risikoanalyse basierende [[Informationssicherheits-Konzepte wie nach ISO/IEC 27001 angewandt
- Vorarbeiten
Arbeitsschritt | Beschreibung |
---|---|
IT-Grundschutz/Strukturanalyse | Ermittlung der relevanten Zielobjekte des Informationsverbundes |
IT-Grundschutz/Schutzbedarfsfeststellung | Festlegung des Schutzbedarfs für die ermittelten Zielobjekte |
IT-Grundschutz/Modellierung | Anwendung der Grundschutz-Bausteine auf die Zielobjekte |
Damit wurde ein Prüfplan („Grundschutz-Modell“) für den Informationsverbund und dessen Zielobjekte zusammengestellt
- Prüfplan anwenden (Grundschutz-Check)
Je Zielobjekt prüfen
- inwieweit relevante Anforderungen erfüllt sind
- durch technische oder organisatorische Maßnahmen
Vorgehen
Schritt | Bezeichnung | Beschreibung |
---|---|---|
1 | Vorbereitungen | |
2 | Durchführung | |
3 | Dokumentation |
Vorbereitung
- Umsetzungsgrad ermitteln und dokumentieren
Umsetzungsgrad einzelner Maßnahmen für das jeweilige Zielobjekt ermitteln und dokumentieren
- Interview der zuständigen Mitarbeiter
- Überprüfungen vor Ort
- Begehung von Serverräumen
- Kontrolle von Konfigurationseinstellungen
- Qualität der Ergebnisse
Die Qualität der Ergebnisse der Interviews und Begehungen hängt auch von einer guten Vorbereitung und der Beachtung einiger Regeln bei der Durchführung ab
- Aktuelles Grundschutz-Kompendium
- Dort wird der Stand der Technik entsprechende Sicherheit beschrieben
- Die Informationstechnik ändert sich kontinuierlich, sodass regelmäßig geprüft werden muss, ob die eingeführten Sicherheitsmaßnahmen noch einen angemessenen Schutz bieten
- Das Grundschutz-Kompendium wird fortlaufend angepasst und um neue Bausteine ergänzt
- Sichten der Dokumente
- Die vorhandenen Dokumente über sicherheitsrelevante Abläufe, Regelungen und Sachverhalte enthalten bereits viele Informationen, die Ihnen bei der Ermittlung des Erfüllungsgrads der Anforderungen helfen können
- Sichten Sie diese Papiere daher bereits vorab
- Ansprechpartner auswählen
- Wählen Sie geeignete Ansprechpartner aus
- Klären Sie in diesem Zusammenhang auch, ob externe Stellen hinzuzuziehen sind, Fremdfirmen, an die Teilaufgaben des Informationsverbundes delegiert wurden
Ansprechpartner ergeben sich direkt aus den im genannten Rollen sowie oft aus dem sachlichen Zusammenhang
- So können Mitarbeiter der Personalabteilung oder Benutzerbetreuer gute Ansprechpartner für den Baustein Personal sein
- Während es sich anbietet, für die Systembausteine zu Netzen, -Systemen oder Anwendungen die jeweils zuständigen Administratoren und Anwendungsbetreuer zu befragen
Durchführung
- Arbeitsteilung
Vier Augen und Ohren sehen und hören mehr als zwei
- Führen Sie die Interviews nach Möglichkeit daher nicht alleine durch
- Es empfiehlt sich eine Arbeitsteilung: Einer führt das Gespräch und stellt die Fragen, ein anderer protokolliert die Ergebnisse
- Selbstverständlich sollten Sie bei der Befragung den Inhalt der Anforderungsbeschreibungen sowie die zugehörigen Umsetzungsempfehlungen kennen
- Gegebenenfalls können stichpunktartige Zusammenfassungen zu einzelnen Anforderungen sowie möglichen Maßnahmen, mit denen sie erfüllt werden können, nützlich sein
- Chancen nutzen
Der Grundschutz-Check ist eine Chance, die Informationssicherheit zu verbessern, kein Verhör
- Sorgen Sie für ein entspanntes Klima, sowohl beim Gespräch als auch bei Begehungen und Überprüfungen vor Ort
Dokumentation
- Umsetzungsgrad
Erfüllungsgrad der Grundschutz-Anforderungen dokumentieren
Umsetzungsgrad | Beschreibung |
---|---|
Vollständig | Alle (Teil)-Anforderung durch geeignete Maßnahmen vollständig, wirksam, angemessen erfüllt |
Entbehrlich | Erfüllung einer Anforderung nicht notwendig |
Teilweise | Anforderung wird teilweise erfüllt |
Nicht | Anforderung ist nicht erfüllt wird, geeignete Maßnahmen wurden größtenteils nicht umgesetzt |
- Entbehrlich
Wird die Erfüllung einer Anforderung auf „entbehrlich“ gesetzt, weil Alternativmaßnahmen ergriffen wurden, muss nachgewiesen werden, dass diese Maßnahmen die bestehenden Risiken angemessen minimieren
- Identifizieren Sie hierfür über die Kreuzreferenztabelle des jeweiligen Bausteins die zugehörigen elementaren Gefährdungen
- Wurden Alternativmaßnahmen ergriffen, begründen Sie, dass diese das von den relevanten Gefährdungen ausgehende Risiko angemessen verringern
Generell gilt, dass Risiken aufgrund der Nichterfüllung von Basis-Anforderungen nicht übernommen werden können
- Anforderungen dürfen darüber hinaus nicht quasi automatisch durch pauschale Akzeptanz oder pauschalen Ausschluss einer elementaren Gefährdung als „entbehrlich“ eingestuft werden
Da den möglichen Gefährdungen mit mindestens gleichwertigen Ersatzmaßnahmen entgegengewirkt wird ( erübrigen sich Passwortregeln, wenn Chipkarten zusätzlich für die Authentisierung eingesetzt werden) oder wenn die Empfehlungen für den betrachteten Einsatzzweck nicht relevant sind (so ist die Anforderung zur Absicherung von Fernwartung nur dann bedeutsam, wenn tatsächlich auch Systeme von entfernten Standorten aus gewartet werden)
Nachvollziehbarkeit
Damit die Ergebnisse des Grundschutz-Checks später und auch von Dritten nachvollzogen und überprüft werden können, ist es wichtig, dass Sie diese sorgfältig dokumentieren
- Begründungen
- Vergessen Sie nicht, bei Anforderungen, die Sie als entbehrlich, nur teilweise oder überhaupt nicht erfüllt eingestuft haben, in der Dokumentation Ihre Begründung hierfür anzugeben
- Formale Angaben
- Bei jedem Interview angeben
- Zielobjekt
- Datum
- Wer es durchgeführt hat
- Wer befragt wurde
Hilfsmittel
Checklisten
Dokumentation mit Checklisten
Tool-Unterstützung
Der Grundschutz-Check wird auch durch eine Reihe an Tools unterstützt, die auf die Grundschutz-Methodik zugeschnitten sind
- Bei Verwendung eines solchen Werkzeugs haben Sie den zusätzlichen Vorteil, dass die Daten der Strukturanalyse für die Dokumentation des Grundschutz-Checks konsistent übernommen werden
Sowohl die Formulare in den Hilfsmitteln zum Grundschutz als auch die Masken in den Grundschutz-Werkzeugen bieten Felder an, in die Sie Angaben zur Umsetzung der als fehlend erkannten Maßnahmen eintragen können (Umsetzungsfristen, Verantwortliche, voraussichtliche Kosten)
- Diese Angaben sind für die Realisierungsplanung wichtig
- Beim Grundschutz-Check ist es noch nicht erforderlich, diese Felder auszufüllen
Risikoanalyse
BSI/200-3 - BSI-Standard: Risikoanalyse
Beschreibung
Risikoanalyse auf der Basis von IT-Grundschutz
- Verfahren zur Risikoanalyse
Prüfen, ob Basis- und Standard-Anforderungen eine ausreichende Sicherheit bieten
Kapitel | Beschreibung |
---|---|
1 | Einleitung |
2 | Vorarbeiten |
3 | Elementaren Gefährdungen |
4 | Gefährdungsübersicht |
5 | Risikoeinstufung |
6 | Risikobehandlung |
7 | Konsolidierung |
8 | Rückführung |
9 | Anhang |
Umsetzung
Grundschutz/Umsetzungsplanung - Lücken im Sicherheitskonzept schließen
Einleitung
- Umsetzung von IT-Sicherheitsmaßnahmen
Schritt | Beschreibung | |
---|---|---|
1 | Sichtung der Untersuchungsergebnisse |
|
2 | Konsolidierung der Maßnahmen |
|
3 | Kosten- und Aufwandsschätzung |
|
4 | Festlegung der Umsetzungsreihenfolge |
|
5 | Festlegung der Verantwortlichkeit |
|
6 | Realisierungsbegleitende Maßnahmen |
|
- Gewünschtes Sicherheitsniveau
- Alle Basis- und Standard-Anforderungen sind erfüllt
- Risikoanalysen haben ergeben, dass auch Zielobjekte mit erhöhtem Schutzbedarf angemessen geschützt sind
- IT-Grundschutz-Check
IT-Grundschutz-Check und zusätzliche Risikoanalysen führen oft zu anderen Ergebnissen
- Verbesserung
Fokus auf Aufrechterhaltung und Verbesserung
- Defizite gibt es immer
Typische Defizite
- Lücken in den vorhandenen organisatorischen Regelungen
- Mangelnde Kontrolle der geltenden Regeln
- Fehlende Sicherheitstechnik
- Unzureichender baulicher Schutz gegen Feuer, Wasser oder Diebstahl
- Lücken wirksam und effizient schließen
Bei der Umsetzungsplanung geht es darum, diese Lücken wirksam und effizient zu schließen
- Systematisches Vorgehen
Wenn viele Einzelmaßnahmen umzusetzen sind
Aufwand
- Aufwände schätzen
Budget
Budget für Informationssicherheit
- Kosten planen
Überblick über voraussichtliche Kosten der Maßnahmen
- Kostenarten schätzen
- Einmalige/wiederkehrende finanzielle Kosten
- Personeller Aufwand
- Beratung
- Schulung/Sensibilisierung
- Technische/Organisatorische Maßnahmen
- Lizenzkosten
- ...
Personal und Finanzmittel
Der Einsatz von Personal und Finanzmitteln muss vom Management getragen werden
Dies gilt insbesondere dann
- wenn die bewilligten Finanzmittel nicht für die sofortige Umsetzung sämtlicher Maßnahmen ausreichen und
- entschieden werden muss
- ob das Budget aufgestockt oder
- das Risiko in Kauf genommen werden soll
das verbleibt, wenn Maßnahmen nicht umgesetzt werden
Managemententscheidung
- Vorbereitung von Managemententscheidungen
- Einführung von Sicherheitsmaßnahmen
- Vorschlag für die Verteilung des Budgets erarbeiten
- kostengünstigere Ersatzmaßnahmen erwägen
- Restrisiken, die aus der Nichterfüllung von Sicherheitsanforderungen
- Dem Management bewusst machen
- Argumentationshilfe
- Kreuzreferenztabellen
- Entscheidung dokumentieren
- dafür sorgen, dass das Management bei der Entscheidung über das Budget durch Unterschrift dokumentiert, dass es bereit ist, die Restrisiken zu tragen
- Nicht akzeptable Risiken
Beachten Sie, dass die Erfüllung der relevanten Basis-Anforderungen das Mindest-Sicherheitsniveau gemäß IT-Grundschutz ist
- Risiken, die aus der Nichterfüllung solcher Anforderungen erwachsen, sollten daher nicht akzeptiert werden
Begleitende Maßnahmen
- Begleitende Maßnahmen festlegen
Schulung | |
Sensibilisierung | |
Akzeptanz |
- Erfolg von Maßnahmen
Hängt wesentlich davon ab, wie diese von den Mitarbeitern akzeptiert und angewandt werden
- Einführung neuer Sicherheitsmaßnahmen
Betroffene Mitarbeiter ausreichend schulen
- Für mögliche Probleme sensibilisieren
Schulung
- Planen Sie Schulungsmaßnahmen ein
Die Einführung neuer Sicherheitsmaßnahmen erfordert
- Aufgaben- und produktbezogene Schulungen
- Für die betroffenen Mitarbeiter
Beispiel
- Was nützt etwa ein neu angeschaffter Feuerlöscher, wenn die Mitarbeiter im Brandfall nicht sachgerecht mit ihm umgehen können?
- Beispiele für zweckmäßige Schulungen
Bereich | Beschreibung |
---|---|
Sicherheitsmanagement |
|
Firewall | Wenn die Schnittstelle zum Internet durch eine Firewall geschützt werden soll, benötigt der zuständige Netzadministrator Kenntnisse über deren sichere Installation, Konfiguration und Administration |
Verschlüsselung | Der Einsatz von Verschlüsselungssoftware zum Schutz der Vertraulichkeit personenbezogener oder unternehmenskritischer Daten erfordert nicht nur den Aufbau von Know-how zu dem eingesetzten Produkt, sondern auch Regeln für dessen Anwendung:
Die auf diese und andere Fragen gefundenen Lösungen müssen den Mitarbeitern verständlich gemacht werden |
Sensibilisierung
- Sensibilisierung betroffener Mitarbeiter
Schulung alleine garantiert noch kein sicherheitsgerechtes Verhalten
- Dauerhafte Wirksamkeit von Sicherheitsmaßnahmen
Mitarbeiter einbeziehen
- Für Informationssicherheit sensibilisieren
- Bereitschaft schaffen, die erforderlichen Maßnahmen umzusetzen
- Notwendige Verhaltensregeln zu beachten
- Auch Unbequemlichkeiten zu akzeptieren
- Feedback aufnehmen
- Negative Beispiele
Bereich | Beschreibung |
---|---|
Brandschutz | Brandschutztüren verlieren ihre Schutzwirkung, wenn sie mit Holzkeilen offen gehalten werden, weil den Mitarbeitern das ständige Öffnen der Türen zu umständlich ist |
E-Mail-Verschlüsselung | Der Kauf von Software zur E-Mail-Verschlüsselung wird zur Fehlinvestition, wenn die Mitarbeiter diese nicht benutzen, weil sie sich der Gefährdungen der Vertraulichkeit nicht bewusst sind und ihre E-Mails weiterhin unverschlüsselt versenden, auch solche mit vertraulichem Inhalt |
Passwörter | Passwörter bedeuten immer einen zusätzlichen Arbeitsschritt vor der eigentlichen Aufgabe
|
Lästige Pflicht | Wenn die Mitarbeiter diese Anforderungen lediglich als lästige Pflicht betrachten, werden Sie dazu neigen, sie zu umgehen, indem sie unsichere Passwörter wählen oder Zettel mit den Passwörtern in der Nähe des Rechners platzieren |
Netzadministrator | Ein Netzadministrator, der seine Probleme bei der Installation eines Sicherheitsgateways unter Angabe seiner dienstlichen Adresse in einem Internet-Forum diskutiert, gefährdet die Schutzwirkung der Software, um deren Installation er sich bemüht |
Den betroffenen Mitarbeitern muss der Sinn der neuen Sicherheitsmaßnahmen verständlich gemacht werden, sei es in Gesprächen, in eigens anberaumten Versammlungen, während regelmäßig stattfindender Besprechungen oder in schriftlicher Form
Akzeptanz
- Überprüfen Sie die Akzeptanz der Maßnahmen
Maßnahmen, die von den Mitarbeitern nicht akzeptiert werden, drohen zu scheitern.
Überprüfen Sie daher nach Einführung der Sicherheitsmaßnahmen, ob diese tatsächlich von den Mitarbeitern angenommen werden
- Sollte dies nicht oder nur eingeschränkt der Fall sein, so versuchen Sie, die Ursachen dafür zu ermitteln, und leiten Sie bei Bedarf zusätzliche Maßnahmen zur Sensibilisierung ein
Konsolidierung
Maßnahmen konsolidieren - Beschreibung
Beschreibung
- Ergebnisse des IT-Grundschutz-Checks
Im ersten Schritt sind aus den Ergebnissen des IT-Grundschutz-Checks und eventuell durchgeführter Risikoanalysen diejenigen Anforderungen herauszufiltern, die nicht oder nur teilweise erfüllt sind
- Übersichtliche Dokumentation
Eine übersichtliche Dokumentation erhalten Sie, wenn Sie die unzureichend erfüllten Anforderungen tabellarisch zusammenstellen und dabei nach den betroffenen Zielobjekten gruppieren, etwa nach dem gesamten Informationsverbund oder bestimmten Räumen und IT-Systemen
- Maßnahmen festlegen
Legen Sie anschließend Maßnahmen fest, mit denen Sie diese Sicherheitslücken schließen können
- Als Hilfsmittel hierfür können Sie die Umsetzungshinweise zu den einzelnen IT-Grundschutz-Bausteinen verwenden
- Zusammenhang prüfen
Anschließend betrachten Sie die Maßnahmen im Zusammenhang und prüfen
- Ob einzelne Maßnahmen überflüssig werden, weil andere zu realisierende Maßnahmen einen mindestens gleichwertigen Schutz für das jeweilige Zielobjekt bewirken
- welche Maßnahmen noch konkretisiert und an die individuellen Gegebenheiten der Institution angepasst werden müssen und
- ob die Maßnahmen tatsächlich geeignet und angemessen sind, sie also genügend Schutz bieten, ohne die Arbeitsabläufe zu behindern oder die Schutzwirkung anderer Maßnahmen zu beeinträchtigen
- Streichung überflüssiger Maßnahmen
Ziel ist es, durch Streichung der überflüssigen und Konkretisierung der verbleibenden Maßnahmen den erforderlichen finanziellen und personellen Realisierungsaufwand auf das notwendige Maß zu begrenzen
- Ergebnisse
Das Ergebnis dieses Schritts ist eine auf die jeweilige Institution zugeschnittene und konkretisierte Liste von Maßnahmen
- Erleichtern Sie die spätere Nachvollziehbarkeit der Entscheidungen, die Sie bei dem Abgleich und der Anpassung der Maßnahmen getroffen haben, indem Sie die Begründungen dokumentieren
Beispiele
Fragen und Lösungen bei der Konsolidierung von Maßnahmen
Authentisierung
Wenn eine Risikoanalyse ergab, dass für eine Gruppe von IT-Systemen eine Authentisierung über ein Chipkarten- oder tokenbasiertes Verfahren angewandt werden sollte, können unter Umständen Maßnahmen zur Gewährleistung einer hohen Passwortgüte entfallen
Gebäudeplanung
- Fehler bei der Gebäudeplanung lassen sich nachträglich oft nur mit einem unverhältnismäßig hohen Aufwand korrigieren
- Wenn die vollständige Erfüllung von Anforderungen wie die Vermeidung wasserführender Leitungen aufgrund der baulichen Gegebenheiten wirtschaftlich nicht vertretbar ist, sollten zumindest Ersatzmaßnahmen getroffen werden
- Beispielsweise können unter den vorhandenen Leitungen wasserableitende Bleche installiert werden, die von einem Wassermelder mit einer im ständig besetzten Pförtnerraum hörbaren Alarmsirene überwacht werden
- Dadurch können Wasserschäden zumindest frühzeitig erkannt und in den Auswirkungen begrenzt werden
Zugangsschutz
- Maßnahmen zum Zugangsschutz versperren unter Umständen im Brandfall mögliche Fluchtwege
- Hier empfiehlt sich gegebenenfalls die Rücksprache mit Brandschutzexperten, der Feuerwehr, um sowohl dem Zugangs- als auch dem Brandschutz gleichermaßen gerecht zu werden
Verschlüsselung
- Verschlüsselung unternehmenskritischer Informationen
Die Verschlüsselung unternehmenskritischer Informationen zum Schutz ihrer Vertraulichkeit ist ein Beispiel für eine Maßnahme, die mit anderen Schutzzielen kollidieren kann, und bei der daher eine sorgfältige Abwägung der Vor- und Nachteile und unter Umständen ergänzende Maßnahmen nötig sind:
- Verschlüsselte E-Mails können den zentralen Virenschutz auf einem Server unterlaufen und so zur Infiltration eines Netzes mit Schadsoftware führen
- Bei unzureichendem Schlüssel-Management oder fehlerhafter Anwendung kann Verschlüsselung ferner die Verfügbarkeit wichtiger Daten auch für berechtigte Personen gefährden
Reihenfolge
- Umsetzungsreihenfolge und Verantwortlichkeit
Umsetzungsreihenfolge
Wenn Budget oder Personal nicht ausreichen, alle wünschenswerten Sicherheitsmaßnahmen unmittelbar umzusetzen, ist eine sinnvolle Reihenfolge festzulegen
- Dabei sollten Sie sich an folgenden Regeln orientieren
- Einen ersten Indikator zur Umsetzungsreihenfolge liefern die Kennzeichnungen R1, R2 und R3 bei den Modellierungshinweisen in Kapitel 2.2 des IT-Grundschutz-Kompendiums
- Anforderungen aus mit „R1“ gekennzeichneten Bausteinen (z. B. ISMS.1 Sicherheitsmanagement und die Bausteine der Schicht ORP Organisation und Personal) sollten vorrangig erfüllt werden
- Anschließend sind Anforderungen aus den mit „R2“ gekennzeichneten Bausteinen zu erfüllen und erst zum Schluss solche aus Bausteinen, die mit dem Kürzel „R3“ versehen sind
- Grundsätzlich sind ferner zunächst diejenigen Maßnahmen umzusetzen, mit denen Basis-Anforderungen erfüllt werden, dann diejenigen zur Erfüllung von Standard-Anforderungen und erst zuletzt die zur Gewährleistung eines höheren Schutzbedarfs
- Berücksichtigen Sie ferner auch die sachlogischen Zusammenhänge der einzelnen Maßnahmen: So sind diejenigen Maßnahmen vorzuziehen, deren Umsetzung eine Voraussetzung für die Realisierung weiterer Maßnahmen ist
Insbesondere sollten Sie Ihr Augenmerk darauf legen, welche Wirkung die Umsetzung der einzelnen Maßnahmen auf das Sicherheitsniveau des Informationsverbundes hat
- Setzen Sie vorrangig solche Maßnahmen um, die
- Komponenten mit höherem Schutzbedarf betreffen (sollten Server vor Clients abgesichert werden)
- eine große Breitenwirkung entfalten (z. B. zentrale Maßnahmen wie der Einsatz von Netz- und Systemmanagement-Werkzeugen) oder
- Bereiche betreffen, in denen auffallend viele Sicherheitsmaßnahmen fehlen
Dokumentieren Sie auch Ihre Entscheidungen zur Umsetzungsreihenfolge und deren Begründungen sorgfältig, damit nachvollziehbar und verständlich wird, warum Sie die aus der zeitlich nachgeordneten Umsetzung bestimmter Maßnahmen resultierenden Restrisiken in Kauf genommen haben
- Dies kann insbesondere bei eventuell möglichen juristischen Streitfällen als Nachweis wichtig sein, dass die notwendige Sorgfaltspflicht beachtet wurde
Verantwortlichkeit
Aufgaben und Verantwortlichkeiten
Maßnahmen werden meist nur dann fristgerecht umgesetzt, wenn geklärt wird, wer bis zu welchem Termin für deren Umsetzung zuständig ist
- Der nächste Schritt besteht daher darin, diejenigen Personen zu bestimmen, welche die Umsetzung initiieren und durchführen sollen
- Auch diese Entscheidungen sollten mit dem Management abgestimmt sein
Achten Sie darauf, dass die für die Umsetzung Zuständigen ausreichende Kenntnisse und Kompetenzen besitzen und ihnen die erforderlichen Ressourcen zur Verfügung gestellt werden
- Planen Sie erforderliche Fortbildungen ein
Umsetzungsplan
- Dokumentation
Auszug Realisierungsplan
- Zielobjekt: Printserver S003
- Maßnahmen, Entscheidungen, Termine, Kosten, Verantwortlichkeiten
- Umsetzungsplan
Anforderung | Maßnahme | Termin | Kosten | Umsetzung |
---|---|---|---|---|
SYS.1.1.A3 Restriktive Rechtevergabe |
Gruppenberechtigungen auflösen | 3. Quartal 2023 | Keine | IT-Betrieb Michael Schmitt |
SYS.1.1.A4 Rollentrennung |
Separate Benutzerkennungen für jeden Administrator | 31. Juli 2023 | Keine | IT-Betrieb Michael Schmitt |
SYS.1.1.A8 Regelmäßige Datensicherung |
Externes Backup-System Datensicherungen jetzt Bändern im Serverraum gelagert |
1. Quartal 2024 | Anschaffung: €15.000 Betrieb: verhandeln |
Einkauf Tanja Meyer |
IT-Grundschutz-Kompendium
IT-Grundschutz/Kompendium - Arbeitsinstrument und Nachschlagewerk zur Informationssicherheit
Beschreibung
Sammlung von Dokumenten (Bausteine)
- IT-Grundschutz-Bausteine
- Aspekte der Informationssicherheit
- Typische Gefährdungen
- Typische Sicherheitsanforderungen
- Einführung eines Information Security Management Systems (ISMS)
- Schrittweise
- Praxisnah
- Reduzierter Aufwand
- Thematische Schichten
- Unterschiedliche Aspekte
- Gegenstand eines Bausteins
Übergeordnete Themen
- Informationssicherheitsmanagement
- Notfallmanagement
Spezielle technische Systeme
- Üblicherweise in Unternehmen und Behörden im Einsatz, etwa
- Clients
- Server
- Mobile Systeme
- Industrielle Steuerungen
- Aktualisierung und Erweiterung
- Kontinuierlich
- Berücksichtigung von Anwenderwünschen
- Anpassung an die Entwicklung der zugrunde liegenden Standards
- Anpassung an die Gefährdungslage
Schichten
- Schichtenmodell der Grundschutz-Bausteine
- Komplexität reduzieren
- Redundanzen vermeiden
- Zuständigkeiten bündeln
- Einzelaspekte aktualisieren, ohne andere Teile zu beeinflussen
Gliederung des IT-Grundschutz Kompendiums - Aufbau und Inhalte
Gliederung
Kapitel | Beschreibung |
---|---|
Einführung |
|
Schichtenmodell und Modellierung | |
Rollen | |
Glossar | |
Elementare Gefährdungen | |
Bausteine |
Übersicht
- Schichten und Bausteine
Schicht | Beschreibung |
---|---|
Prozess-Bausteine | |
System-Bausteine |
Prozess-Bausteine
Kürzel | Titel |
---|---|
ISMS | Sicherheitsmanagement |
ORP | Organisation und Personal |
CON | Konzeption und Vorgehensweise |
OPS | Betrieb |
DER | Detektion und Reaktion |
System-Bausteine
Kürzel | Titel |
---|---|
APP | Anwendungen |
SYS | IT-Systeme |
IND | Industrielle IT |
NET | Netze und Kommunikation |
INF | Infrastruktur |
Rollen
IT-Grundschutz/Kompendium/Rollen - Definitionen und Zuständigkeiten
Übersicht
Rolle | Aufgabe |
---|---|
Auditteamleitung | Leitung des Auditteams |
Auditteam | Fachlich Unterstützung der Auditteamleitung |
Bauleitung | Umsetzung von Baumaßnahmen |
Benutzende | Informationstechnische Systeme nutzen |
Bereichssicherheitsbeauftragte | Sicherheitsbelange der Geschäftsprozesse, Anwendungen und IT-Systeme in ihren Bereichen |
Beschaffungsstelle | Initiiert und überwacht Beschaffungen |
Brandschutzbeauftragte | Brandschutz |
Datenschutzbeauftragte | Gesetzeskonformen Umgang mit personenbezogenen Daten |
Compliance-Beauftragte | Vorgaben identifizieren und deren Einhaltung zu prüfen |
Entwickelnde | Planung, Entwicklung oder Pflege von Software, Hardware oder ganzen Systemen |
Errichterfirma | Unternehmen, das Gewerke oder aber auch Gebäude errichtet |
Fachabteilung | Teil einer Behörde beziehungsweise eines Unternehmens, das fachspezifische Aufgaben zu erledigen hat |
Fachverantwortliche | Inhaltlich für ein oder mehrere Geschäftsprozesse oder Fachverfahren zuständig |
Haustechnik | Infrastruktur in Gebäuden und Liegenschaften |
ICS-Informationssicherheitsbeauftragte | Sicherheit von ICS-Systemen |
Informationssicherheitsbeauftragte (ISB) |
Informationssicherheitsbeauftragte sind von der Institutionsleitung ernannte Personen, die im Auftrag der Leitungsebene die Aufgabe Informationssicherheit koordinieren und innerhalb der Behörde beziehungsweise des Unternehmens vorantreiben. |
ISMS Management-Team | |
Institution | Mit dem Begriff Institution werden im IT-Grundschutz Unternehmen, Behörden und sonstige öffentliche oder private Organisationen bezeichnet. |
Institutionsleitung | Dies bezeichnet die Leitungsebene der Institution beziehungsweise der betrachteten Organisationseinheit. |
IS-Revisionsteam | Das IS-Revisionsteam besteht aus IS-Revisoren und IS-Revisorinnen sowie Fachleuten, die die verantwortliche Leitung für die IS-Revision insbesondere fachlich während der IS-Revision unterstützen. |
IT-Betrieb | Als IT-Betrieb wird die Organisationseinheit bezeichnet, die die interne IT einrichtet, betreibt, überwacht und wartet.
Mitarbeitende Die Mitarbeitenden sind Teil einer Institution. |
Notfallbeauftragte | Notfallbeauftragte steuern alle Aktivitäten rund um das Notfallmanagement.
zung, Pflege und Betreuung des institutionsweiten Notfallmanagements und der zugehörigen Dokumente, Rege- lungen und Maßnahmen zuständig.
densereignis. |
OT-Betrieb (Operational Technology, OT) | Der OT-Betrieb ist für Einrichtung, Betrieb, Überwachung und Wartung der ICS-Systeme zuständig. |
OT-Leitung | Die OT-Leitung bezeichnet die Leitung des Bereichs Produktion und Fertigung beziehungsweise
die industriellen Steuerungssysteme (ICS), die von der Institution eingesetzt werden. Die OT-Leitung ist dafür zuständig, Risiken aus der Informationssicherheit für die Integrität der SIS (Safety Instru- mented Systems) zu beurteilen und dem Stand der Technik entsprechende Maßnahmen zu ergreifen.
ist die OT-Leitung dafür zuständig, die Belegschaft für die Belange der Informationssicherheit zu schulen |
Personalabteilung | |
Planende | Mit dem allgemeinen Begriff Planende werden Rollen zur Planung unterschiedlicher Aspekte zusammengefasst.
|
Risikomanager | Person, die alle Aufgaben des Risikomanagements wahrnimmt. |
Testende | Testende sind Personen, die gemäß einem Testplan nach vorher festgelegten Verfahren und Kriterien eine neue oder veränderte Software beziehungsweise Hardware testen und die Testergebnisse mit den erwarteten Ergebnissen vergleichen. |
Vorgesetzte | Mitarbeitenden einer Institution bezeichnet, die gegenüber anderen, ihnen zugeordnetungspersonal |
Wartungspersonal | Mitarbeitende von Dienstleistenden, die mit der Wartung von technischen Systemen (etwa ICS- oder IT-Systeme) im Informationsverbund beauftragt wurden.
|
Zentrale Verwaltung | Die Rolle bezeichnet die Organisationseinheit, die den allgemeinen Betrieb regelt und überwacht sowie alle Verwaltungsdienstleistungen plant, organisiert und durchführt.
|
Grundschutz-Check
Grundschutz-Check - Soll-Ist-Vergleich zwischen geforderten und erfüllten Anforderungen
Beschreibung
- Motivation
Sind Informationen und Informationstechnik hinreichend geschützt?
- Was bleibt zu tun?
- Soll-Ist-Vergleich
- Anforderungen mit den umgesetzten Sicherheitsmaßnahmen
- Informationsverbund oder Komponente
- Umgesetzte Sicherheitsmaßnahmen mit den Anforderungen des entwickelten Grundschutz-Modells vergleichen
- Bestehendes Sicherheitsniveau identifizieren
- Verbesserungsmöglichkeiten aufzeigen
- Grundschutz-Modell
Grundlage des Grundschutz-Checks
- ist das in der Modellierung aufgrund der vorhandenen Zielobjekte und ihres Schutzbedarfs zusammengestellte Grundschutz-Modell des Informationsverbundes
- In diesem Modell ist festgelegt, welche Bausteine und damit Anforderungsbündel für die einzelnen Zielobjekte des Informationsverbundes anzuwenden sind
- Anforderungen
- Basisanforderungen
- Standardanforderungen
- Anforderungen für den erhöhten Schutzbedarf
- Vorgehensweise
Welche dieser Anforderungen Sie im Grundschutz-Check berücksichtigen, hängt von der Vorgehensweise der IT-Grundschutz-Methodik ab
- Bei der Vorgehensweise Basis-Absicherung prüfen Sie lediglich die Erfüllung der Basis-Anforderungen
- Bei den Vorgehensweisen Standard-Absicherung und Kern-Absicherung berücksichtigen Sie zusätzlich die Standard-Anforderungen
- Die Anforderungen für den erhöhten Schutzbedarf haben Beispielcharakter und können im Bedarfsfall durch andere Maßnahmen mit starker Schutzwirkung ersetzt oder ergänzt werden
- Sie prüfen diese Anforderungen also nur dann, wenn sie als Ergebnis einer Risikoanalyse in das Grundschutz-Modell aufgenommen wurden, also Bestandteil des Sicherheitskonzepts geworden sind
- siehe Risikoanalyse
- Anforderungen
Basis für den IT-Grundschutz-Check sind die Anforderungen aus dem IT-Grundschutz/Kompendium
- Aus der Strukturanalyse und der anschließenden Modellierung geht ein Modell des Informationsverbundes hervor, das alle relevanten Objekte mit den zugehörigen Bausteinen des IT-Grundschutz/Kompendiums enthält
- Aufgrund der nun vorliegenden Bausteine wird für jedes Objekt ermittelt, wie hoch der Erfüllungsgrad der in den Bausteinen enthaltenen Anforderungen ist
- Dies geschieht großenteils durch Interviews mit den Verantwortlichen der jeweiligen Bereiche
- Überblick über das vorhandene IT-Sicherheitsniveau
Der IT-Grundschutz-Check ist somit ein Organisationsinstrument, welches einen gebündelten Überblick über das vorhandene IT-Sicherheitsniveau bietet
- Als Ergebnis liegt ein Katalog vor, in dem für jede relevante Anforderung der Umsetzungsstatus „entbehrlich“, „ja“, „teilweise“ oder „nein“ erfasst ist
- Durch die Identifizierung von nicht oder nur teilweise umgesetzten Maßnahmen werden Verbesserungsmöglichkeiten für die Sicherheit der betrachteten Informationstechnik aufgezeigt
- Soll/Ist-Abgleich
Der IT-Grundschutz-Check gibt Auskunft über die noch fehlenden Maßnahmen (Soll/Ist-Abgleich)
- Daraus folgt, was noch zu tun ist, um das angestrebte Maß an Sicherheit zu erlangen
- Die Grundschutz-Methodik unterscheidet hier die Basis-, Standard- oder Kern-Absicherung
- Die Anforderungen des Kompendiums sind für die jeweilige Absicherungsmethode gekennzeichnet (Basis, Standard und für erhöhten Schutzbedarf)
- Hoher/sehr hoher Schutzbedarf
Für Systeme mit hohem/sehr hohem Schutzbedarf werden mitunter auch auf einer Risikoanalyse basierende [[Informationssicherheits-Konzepte wie nach ISO/IEC 27001 angewandt
- Vorarbeiten
Arbeitsschritt | Beschreibung |
---|---|
IT-Grundschutz/Strukturanalyse | Ermittlung der relevanten Zielobjekte des Informationsverbundes |
IT-Grundschutz/Schutzbedarfsfeststellung | Festlegung des Schutzbedarfs für die ermittelten Zielobjekte |
IT-Grundschutz/Modellierung | Anwendung der Grundschutz-Bausteine auf die Zielobjekte |
Damit wurde ein Prüfplan („Grundschutz-Modell“) für den Informationsverbund und dessen Zielobjekte zusammengestellt
- Prüfplan anwenden (Grundschutz-Check)
Je Zielobjekt prüfen
- inwieweit relevante Anforderungen erfüllt sind
- durch technische oder organisatorische Maßnahmen
Vorgehen
Schritt | Bezeichnung | Beschreibung |
---|---|---|
1 | Vorbereitungen | |
2 | Durchführung | |
3 | Dokumentation |
Vorbereitung
- Umsetzungsgrad ermitteln und dokumentieren
Umsetzungsgrad einzelner Maßnahmen für das jeweilige Zielobjekt ermitteln und dokumentieren
- Interview der zuständigen Mitarbeiter
- Überprüfungen vor Ort
- Begehung von Serverräumen
- Kontrolle von Konfigurationseinstellungen
- Qualität der Ergebnisse
Die Qualität der Ergebnisse der Interviews und Begehungen hängt auch von einer guten Vorbereitung und der Beachtung einiger Regeln bei der Durchführung ab
- Aktuelles Grundschutz-Kompendium
- Dort wird der Stand der Technik entsprechende Sicherheit beschrieben
- Die Informationstechnik ändert sich kontinuierlich, sodass regelmäßig geprüft werden muss, ob die eingeführten Sicherheitsmaßnahmen noch einen angemessenen Schutz bieten
- Das Grundschutz-Kompendium wird fortlaufend angepasst und um neue Bausteine ergänzt
- Sichten der Dokumente
- Die vorhandenen Dokumente über sicherheitsrelevante Abläufe, Regelungen und Sachverhalte enthalten bereits viele Informationen, die Ihnen bei der Ermittlung des Erfüllungsgrads der Anforderungen helfen können
- Sichten Sie diese Papiere daher bereits vorab
- Ansprechpartner auswählen
- Wählen Sie geeignete Ansprechpartner aus
- Klären Sie in diesem Zusammenhang auch, ob externe Stellen hinzuzuziehen sind, Fremdfirmen, an die Teilaufgaben des Informationsverbundes delegiert wurden
Ansprechpartner ergeben sich direkt aus den im genannten Rollen sowie oft aus dem sachlichen Zusammenhang
- So können Mitarbeiter der Personalabteilung oder Benutzerbetreuer gute Ansprechpartner für den Baustein Personal sein
- Während es sich anbietet, für die Systembausteine zu Netzen, -Systemen oder Anwendungen die jeweils zuständigen Administratoren und Anwendungsbetreuer zu befragen
Durchführung
- Arbeitsteilung
Vier Augen und Ohren sehen und hören mehr als zwei
- Führen Sie die Interviews nach Möglichkeit daher nicht alleine durch
- Es empfiehlt sich eine Arbeitsteilung: Einer führt das Gespräch und stellt die Fragen, ein anderer protokolliert die Ergebnisse
- Selbstverständlich sollten Sie bei der Befragung den Inhalt der Anforderungsbeschreibungen sowie die zugehörigen Umsetzungsempfehlungen kennen
- Gegebenenfalls können stichpunktartige Zusammenfassungen zu einzelnen Anforderungen sowie möglichen Maßnahmen, mit denen sie erfüllt werden können, nützlich sein
- Chancen nutzen
Der Grundschutz-Check ist eine Chance, die Informationssicherheit zu verbessern, kein Verhör
- Sorgen Sie für ein entspanntes Klima, sowohl beim Gespräch als auch bei Begehungen und Überprüfungen vor Ort
Dokumentation
- Umsetzungsgrad
Erfüllungsgrad der Grundschutz-Anforderungen dokumentieren
Umsetzungsgrad | Beschreibung |
---|---|
Vollständig | Alle (Teil)-Anforderung durch geeignete Maßnahmen vollständig, wirksam, angemessen erfüllt |
Entbehrlich | Erfüllung einer Anforderung nicht notwendig |
Teilweise | Anforderung wird teilweise erfüllt |
Nicht | Anforderung ist nicht erfüllt wird, geeignete Maßnahmen wurden größtenteils nicht umgesetzt |
- Entbehrlich
Wird die Erfüllung einer Anforderung auf „entbehrlich“ gesetzt, weil Alternativmaßnahmen ergriffen wurden, muss nachgewiesen werden, dass diese Maßnahmen die bestehenden Risiken angemessen minimieren
- Identifizieren Sie hierfür über die Kreuzreferenztabelle des jeweiligen Bausteins die zugehörigen elementaren Gefährdungen
- Wurden Alternativmaßnahmen ergriffen, begründen Sie, dass diese das von den relevanten Gefährdungen ausgehende Risiko angemessen verringern
Generell gilt, dass Risiken aufgrund der Nichterfüllung von Basis-Anforderungen nicht übernommen werden können
- Anforderungen dürfen darüber hinaus nicht quasi automatisch durch pauschale Akzeptanz oder pauschalen Ausschluss einer elementaren Gefährdung als „entbehrlich“ eingestuft werden
Da den möglichen Gefährdungen mit mindestens gleichwertigen Ersatzmaßnahmen entgegengewirkt wird ( erübrigen sich Passwortregeln, wenn Chipkarten zusätzlich für die Authentisierung eingesetzt werden) oder wenn die Empfehlungen für den betrachteten Einsatzzweck nicht relevant sind (so ist die Anforderung zur Absicherung von Fernwartung nur dann bedeutsam, wenn tatsächlich auch Systeme von entfernten Standorten aus gewartet werden)
Nachvollziehbarkeit
Damit die Ergebnisse des Grundschutz-Checks später und auch von Dritten nachvollzogen und überprüft werden können, ist es wichtig, dass Sie diese sorgfältig dokumentieren
- Begründungen
- Vergessen Sie nicht, bei Anforderungen, die Sie als entbehrlich, nur teilweise oder überhaupt nicht erfüllt eingestuft haben, in der Dokumentation Ihre Begründung hierfür anzugeben
- Formale Angaben
- Bei jedem Interview angeben
- Zielobjekt
- Datum
- Wer es durchgeführt hat
- Wer befragt wurde
Hilfsmittel
Checklisten
Dokumentation mit Checklisten
Tool-Unterstützung
Der Grundschutz-Check wird auch durch eine Reihe an Tools unterstützt, die auf die Grundschutz-Methodik zugeschnitten sind
- Bei Verwendung eines solchen Werkzeugs haben Sie den zusätzlichen Vorteil, dass die Daten der Strukturanalyse für die Dokumentation des Grundschutz-Checks konsistent übernommen werden
Sowohl die Formulare in den Hilfsmitteln zum Grundschutz als auch die Masken in den Grundschutz-Werkzeugen bieten Felder an, in die Sie Angaben zur Umsetzung der als fehlend erkannten Maßnahmen eintragen können (Umsetzungsfristen, Verantwortliche, voraussichtliche Kosten)
- Diese Angaben sind für die Realisierungsplanung wichtig
- Beim Grundschutz-Check ist es noch nicht erforderlich, diese Felder auszufüllen
Risikoanalyse
BSI-Standard 200-3 - Risikoanalyse auf der Basis von IT-Grundschutz
Inhalt
Einleitung
Beschreibung
- Vereinfachte Risikoanalysen
Notwendig, wenn es fraglich ist, ob Basis- und Standard-Anforderungen eine ausreichende Sicherheit bieten
- Anforderungen
- Basis- und Standard-Anforderungen
Grundschutz-Bausteine bieten einen angemessenen und ausreichenden Schutz
- Normalen Schutzbedarf
- Typische Informationsverbünde
- Anwendungsszenarien
- Anforderungen
- Hierfür wurde geprüft
- Welchen Gefährdungen die in den Bausteinen behandelten Sachverhalte üblicherweise ausgesetzt sind
- Wie den daraus resultierenden Risiken zweckmäßig begegnet werden kann
- Grundschutzansatz
- Festlegung erforderlicher Sicherheitsmaßnahmen
Weniger aufwendigen Untersuchungen
- in der Regel
- für den weitaus größten Teil eines Informationsverbundes
- Zusätzlicher Analysebedarf
Hoher/sehr hoher Schutzbedarf | In mindestens einem der drei Grundwerte Vertraulichkeit, Integrität und Verfügbarkeit |
Keine hinreichenden Bausteine | Kein hinreichend passender Baustein im Grundschutz-Kompendium |
Einsatzumgebung untypisch | Es gibt zwar einen geeigneten Baustein, die Einsatzumgebung des Zielobjekts ist allerdings für den Grundschutz untypisch |
- Risikoanalyse
Untersuchung von Sicherheitsgefährdungen und deren Auswirkungen
- BSI-Standard 200-3: Risikomanagement bietet hierfür eine effiziente Methodik
- Zielgruppe
Mit dem Management oder der Durchführung von Risikoanalysen für die Informationssicherheit betraute
- Sicherheitsverantwortliche
- Sicherheitsbeauftragte
- Sicherheitsexperten
- Sicherheitsberater
- BSI 200-3 bietet sich an, wenn
- bereits erfolgreich mit der IT-Grundschutz-Methodik gemäß BSI-Standard 200-2 gearbeitet wird
- möglichst direkt eine Risikoanalyse an die IT-Grundschutz-Analyse folgen soll
- Je nach Rahmenbedingungen und Art des Informationsverbunds
- kann es jedoch zweckmäßig sein
- alternativ zum BSI-Standard 200-3 ein anderes etabliertes Verfahren oder eine angepasste Methodik für die Analyse von Informationsrisiken zu verwenden
- BSI 200-3 beschreibt eine Methodik zur Analyse von Risiken
- IT-Grundschutz-Sicherheitskonzept ergänzen
- Elementaren Gefährdungen
- Dabei wird die im IT-Grundschutz/Kompendium enthaltene Liste von elementaren Gefährdungen als Hilfsmittel verwendet
- Es wird empfohlen, die in den Kapiteln 2 bis 8 dargestellte Methodik Schritt für Schritt durchzuarbeiten
- Notfallmanagement
Im BSI-Standard 100-4 Notfallmanagement ist für besonders kritische Ressourcen der Geschäftsprozesse der Institution ebenfalls eine Risikoanalyse vorgesehen, die sich von der hier beschriebenen nur in einigen Begriffen unterscheidet
- Beide Risikoanalysen können effizient aufeinander abgestimmt werden
- Es ist sinnvoll, dass sich alle Rollen in einer Institution, die sich mit Risikomanagement für einen spezifischen Bereich beschäftigen, miteinander abstimmen und vergleichbare Vorgehensweisen wählen
Überblick
BSI-Standard 200-3 - Risikoanalyse auf der Basis von IT-Grundschutz
- Bündelung aller risikobezogenen Arbeitsschritte in BSI-Standard 200-3
- Implementation eines Risikoentscheidungsprozesses
- Keine Risikoakzeptanz bei den Basis-Anforderungen
- Möglichkeit der Risikoakzeptanz für Standard-Anforderungen und bei erhöhtem Schutzbedarf
Risikomanagementsystem
- Angemessenes Risikomanagement
- Richtlinie zum Umgang mit Risiken
- Vorarbeiten und Priorisierung
Normen
- Zusammenspiel mit ISO/IEC 31000 und ISO/IEC 27005
ISO/IEC 31000 | ISO-Norm zum Risikomanagement |
ISO/IEC 27005 | Risikomanagement in der Informationssicherheit |
Einordnung IT-Grundschutz
Wann MUSS eine Risikoanalyse durchgeführt werden?
In bestimmten Fällen muss explizit eine Risikoanalyse durchgeführt werden Beispielsweise, wenn der Informationsverbund Zielobjekte enthält, die
- einen hohen oder sehr hohen Schutzbedarf in mindestens einem der drei Grundwerte Vertraulichkeit, Integrität oder Verfügbarkeit haben oder
- mit den existierenden Bausteinen des IT-Grundschutzes nicht hinreichend abgebildet (modelliert) werden können oder
- in Einsatzszenarien (Umgebung, Anwendung) betrieben werden, die im Rahmen des IT-Grundschutzes nicht vorgesehen sind
In diesen Fällen stellen sich folgende Fragen
- Welchen Gefährdungen für Informationen ist durch die Umsetzung der relevanten IT-Grundschutz-Bausteine noch nicht ausreichend oder sogar noch gar nicht Rechnung getragen?
- Müssen eventuell ergänzende Sicherheitsmaßnahmen, die über das IT-Grundschutz-Modell hinausgehen, eingeplant und umgesetzt werden?
BSI 200-3
- Beschreibt, wie für bestimmte Zielobjekte festgestellt werden kann, ob und in welcher Hinsicht über den IT-Grundschutz hinaus Handlungsbedarf besteht, um Informationssicherheitsrisiken zu reduzieren
- Hierzu werden Risiken, die von elementaren Gefährdungen ausgehen, eingeschätzt und anhand einer Matrix bewertet
- Die Einschätzung erfolgt über die zu erwartende Häufigkeit des Eintretens und die Höhe des Schadens, der bei Eintritt des Schadensereignisses entsteht
- Aus diesen beiden Anteilen ergibt sich das Risiko
Zweistufige Risikoanalyse
- In einem ersten Schritt wird die in Kapitel 4 erstellte Gefährdungsübersicht systematisch abgearbeitet
- Dabei wird für jedes Zielobjekt und jede Gefährdung eine Bewertung unter der Annahme vorgenommen, dass bereits Sicherheitsmaßnahmen umgesetzt oder geplant worden sind (siehe Beispiele in Kapitel 5)
In der Regel wird es sich hierbei um Sicherheitsmaßnahmen handeln, die aus den Basis- und Standard-Anforderungen des IT-Grundschutz/Kompendiums abgeleitet worden sind
- An die erste Bewertung schließt sich eine erneute Bewertung an, bei der die Sicherheitsmaßnahmen zur Risikobehandlung betrachtet werden (siehe Beispiele in Kapitel 6)
- Durch einen Vorher-Nachher-Vergleich lässt sich die Wirksamkeit der Sicherheitsmaßnahmen prüfen, die zur Risikobehandlung eingesetzt worden sind
Risiken und Chancen
Chancen und Risiken sind die häufig auf Berechnungen beruhenden Vorhersagen eines möglichen Nutzens im positiven Fall bzw. Schadens im negativen Fall
- Was als Nutzen oder Schaden aufgefasst wird, hängt von den Wertvorstellungen einer Institution ab
BSI 200-3 konzentriert sich auf die Betrachtung der negativen Auswirkungen von Risiken, mit dem Ziel, adäquate Maßnahmen zur Risikominimierung aufzuzeigen
- In der Praxis werden im Rahmen des Risikomanagements meistens nur die negativen Auswirkungen betrachtet
- Ergänzend hierzu sollten sich Institutionen jedoch auch mit den positiven Auswirkungen befassen
Risikoanalyse
Als Risikoanalyse wird IT-Grundschutz der komplette Prozess bezeichnet
- Risiken beurteilen (identifizieren, einschätzen und bewerten) und behandeln
ISO 31000 und ISO 27005
Risikoanalyse bezeichnet aber nach den einschlägigen ISO-Normen ISO 31000 (siehe [31000]) und ISO 27005 (siehe [27005]) nur einen Schritt im Rahmen der Risikobeurteilung, die aus den folgenden Schritten besteht
- Identifikation von Risiken (Risk Identification)
- Analyse von Risiken (Risk Analysis)
- Evaluation oder Bewertung von Risiken (Risk Evaluation)
Deutscher Sprachgebrauch
Begriff „Risikoanalyse“ für den kompletten Prozess der Risikobeurteilung und Risikobehandlung etabliert
- Daher wird im IT-Grundschutz weiter der Begriff „Risikoanalyse“ für den umfassenden Prozess benutzt
Internationalen Normen
In den internationalen Normen, insbesondere der ISO 31000, werden einige Begriffe anders belegt, als es im deutschen Sprachraum üblich ist
- Daher findet sich im Anhang eine Tabelle, in der die wesentlichen Begriffe aus ISO 31000 und dem 200-3 gegenübergestellt werden (siehe Tabelle 11)
Zielsetzung
- Informationssicherheitsrisiken steuern
- Anerkanntes Vorgehen
- Angemessen
- Zielgerichtet
- Leicht anwendbar
Elementare Gefährdungen
Vorgehen basiert auf Elementaren Gefährdungen
- Im IT-Grundschutz/Kompendium beschrieben
- Basis für die Erstellung der IT-Grundschutz-Bausteine
Risikobewertung
In der Vorgehensweise nach IT-Grundschutz wird bei der Erstellung der IT-Grundschutz-Bausteine implizit eine Risikobewertung für Bereiche mit normalem Schutzbedarf vom BSI durchgeführt
- Hierbei werden nur solche Gefährdungen betrachtet, die eine so hohe Eintrittshäufigkeit oder so einschneidende Auswirkungen haben, dass Sicherheitsmaßnahmen ergriffen werden müssen
- Typische Gefährdungen, gegen die sich jeder schützen muss, sind z. B. Schäden durch Feuer, Wasser, Einbrecher, Schadsoftware oder Hardware-Defekte
- Dieser Ansatz hat den Vorteil, dass Anwender des IT-Grundschutzes für einen Großteil des Informationsverbundes keine individuelle Bedrohungs- und Schwachstellenanalyse durchführen müssen, weil diese bereits vorab vom BSI durchgeführt wurde
Übersicht
- Schritte Risikoanalyse nach BSI-Standard 200-3
- Integration der Risikoanalyse in den Sicherheitsprozess
Arbeitsschitt | 200-3 | Beschreibung | |
---|---|---|---|
1 | Gefährdungen ermitteln | Kapitel 4 |
|
2 | Risikoeinstufung | Kapitel 5 |
|
3 | Risikobehandlung | Kapitel 6 |
|
4 | Konsolidierung | Kapitel 7 |
|
Vorarbeiten
Vorarbeiten zur Risikoanalyse
BSI-Standard 200-2
Arbeitsschitt | Beschreibung |
---|---|
Informationssicherheitsprozess | Systematischer Informationssicherheitsprozess muss initiiert worden sein.
|
IT-Grundschutz/Geltungsbereich | Geltungsbereich für die Sicherheitskonzeption muss definiert worden sein.
|
Strukturanalyse | Für den Informationsverbund sollte eine Strukturanalyse gemäß Kapitel 8.1 der IT-Grundschutz-Methodik durchgeführt worden sein.
|
Schutzbedarfsfeststellung | Anschließend sollte eine Schutzbedarfsfeststellung gemäß Kapitel 8.2 der IT-Grundschutz-Methodik durchgeführt worden sein.
|
Modellierung | Es sollte eine Modellierung gemäß Kapitel 8.3 der IT-Grundschutz-Methodik und Kapitel 2 des IT-Grundschutz/Kompendiums durchgeführt worden sein.
|
IT-Grundschutz-Check | Es sollte vor der Risikoanalyse ein IT-Grundschutz-Check gemäß Kapitel 8.4 der IT-Grundschutz-Methodik durchgeführt werden.
|
- Ergebnis
Liste der Zielobjekte, für die eine Risikoanalyse durchgeführt werden sollte („betrachtete Zielobjekte“)
Priorisierung
- Viele Zielobjekte
Falls trotz Gruppenbildung viele Zielobjekte einer Risikoanalyse unterzogen werden müssen, sollte eine geeignete Priorisierung vorgenommen werden:
- Falls für den IT-Grundschutz die Vorgehensweise „Standard-Absicherung“ gewählt wurde, sollten vorrangig die übergeordneten Zielobjekte bearbeitet werden (insbesondere Geschäftsprozesse, Teilverbünde und gesamter Informationsverbund).
- Aus diesen Arbeiten ergeben sich oft wertvolle Anhaltspunkte für die Risikoanalysen der untergeordneten technischen Zielobjekte.
- Falls für den IT-Grundschutz die Vorgehensweise „Kern-Absicherung“ gewählt wurde, sollten vorrangig die Zielobjekte mit dem höchsten Schutzbedarf bearbeitet werden.
- Falls für den IT-Grundschutz die Vorgehensweise „Basis-Absicherung“ gewählt wurde, werden zunächst keine Risikoanalysen durchgeführt, sondern es werden als Erstes nur die Basis-Anforderungen umgesetzt.
- Abweichende Vorgehensweisen
Von der beschriebenen Vorgehensweise kann abgewichen werden
- Unter Umständen bietet es sich an, eine Risikoanalyse erst nach Erfüllung der IT-Grundschutz-Anforderungen durchzuführen.
- Dies kann beispielsweise bei Zielobjekten sinnvoll sein, die bereits im Einsatz sind und die hinreichend durch IT-Grundschutz-Bausteine dargestellt werden können.
- Als Entscheidungshilfe dazu, nach welchem Schritt eine Risikoanalyse sinnvoll ist, findet sich eine Zusammenstellung der Vor- und Nachteile der möglichen Zeitpunkte in Kapitel 8.5 der IT-Grundschutz-Methodik im BSI-Standard 200-2.
- Risikoanalyse auf Geschäftsprozessebene
- Bei den betrachteten Zielobjekten muss es sich nicht zwangsläufig um systemorientierte Zielobjekte (z. B. Anwendungen, IT-Systeme oder -Räume) handeln.
- Vielmehr kann die Risikoanalyse auch auf Geschäftsprozessebene durchgeführt werden.
Voraussetzungen
Zu den Vorarbeiten gehört auch, dass die Grundvoraussetzungen für die Risikoanalyse von der Institutionsleitung vorgegeben werden.
Richtlinie zum Umgang mit Risiken
Hierzu muss die Leitungsebene eine Richtlinie zum Umgang mit Risiken verabschieden. Diese sollte unter anderem folgende Aspekte umfassen:
- Unter welchen Voraussetzungen muss in jedem Fall eine Risikoanalyse durchgeführt werden?
- Welche Methodik beziehungsweise welcher Standard wird dazu eingesetzt, um die Risiken zu identifizieren, einzuschätzen, zu bewerten und zu behandeln?
- Wie wird die gewählte Methodik auf die speziellen Belange der Institution angepasst?
- Was sind die Risikoakzeptanzkriterien?
- Welche Organisationseinheiten sind für welche Teilaufgaben der Risikoanalyse verantwortlich? Sind Risiken den jeweiligen Risikoeigentümern zugeordnet?
- Auf welche Weise werden Risikoanalysen in den Sicherheitsprozess integriert, geschieht dies beispielsweise vor oder nach Umsetzung der IT-Grundschutz-Anforderungen?
- Welche Berichtspflichten bestehen im Rahmen von Risikoanalysen?
- In welchem Zeitrahmen muss die Risikoanalyse vollständig aktualisiert werden?
- Risikoakzeptanzkriterien
- Da die Risikoakzeptanzkriterien einer Institution in entscheidendem Maße von deren Risikoneigung (Risikoappetit) abhängen, kann es sinnvoll sein, auch die Risikoneigung (siehe Kapitel 9) in der Richtlinie zu beschreiben.
- Möglicherweise ist sich eine Institution ihrer eigenen Risikoneigung nicht bewusst oder hat ungenaue Vorstellungen von diesem Begriff. In diesem Fall sollte die Leitungsebene eine Klärung und Entscheidung herbeiführen, gegebenenfalls sollte die Institution hierfür auf externe Experten zurückgreifen.
- Richtlinie zur Risikoanalyse
- Die in der Richtlinie zur Risikoanalyse beschriebenen Vorgaben der Leitungsebene müssen konsequent umgesetzt werden, wenn Risiken bewertet und behandelt werden.
- Zweifelsfälle können auftreten, beispielsweise wenn es bei einem bestimmten Risiko nicht sinnvoll erscheint, die festgelegte Risikoneigung anzuwenden.
- Solche Ausnahmefälle sollten abgestimmt und dokumentiert werden.
Die Richtlinie zur Risikoanalyse sollte gemäß den Vorgaben des Informationssicherheitsmanagementsystems (siehe BSI-Standard 200-2 IT-Grundschutz Methodik [BSI2]) erstellt werden.
- Sie muss in regelmäßigen Abständen oder anlassbezogen auf ihre Aktualität hin überprüft und gegebenenfalls orientiert an den Zielen der Institution angepasst werden.
- Insbesondere sollte auch die eingesetzte Vorgehensweise zur Risikoanalyse regelmäßig überprüft werden.
- Die Richtlinie zur Risikoanalyse muss durch die Institutionsleitung freigegeben werden.
Zielobjekte
- Voraussetzung für die Durchführung von Risikoanalysen im Rahmen der Standard-Absicherung
bei der Strukturanalyse die Zielobjekte des Informationsverbundes
- zusammengestellt sind
- deren Schutzbedarf festgestellt ist und
- ihnen bei der Modellierung soweit möglich passende Grundschutz-Bausteine zugeordnet wurden.
- Risikoanalyse für Zielobjekte
- Hoher oder sehr hoher Schutzbedarf
- In einem der drei Grundwerte (Vertraulichkeit, Integrität, Verfügbarkeit)
- Für die es keinen passenden Grundschutz-Baustein gibt
- Die in Einsatzszenarien betrieben werden, die für den Grundschutz untypisch sind.
- Priorisierung
Bei einer großen Zahl an Zielobjekten, die eines diese Kriterien erfüllen, sollten Sie eine geeignete Priorisierung vornehmen.
- Bei der Vorgehensweise Standard-Absicherung bietet es sich an, zunächst übergeordnete Zielobjekte zu betrachten, etwa den gesamten Informationsverbund, bestimmte Teile des Informationsverbundes oder wichtige Geschäftsprozesse.
- Bei der Kern-Absicherung sollten Sie vorrangig diejenigen Zielobjekte mit dem höchsten Schutzbedarf untersuchen.
Betrachteten Zielobjekte
Richtlinie
- Richtlinie zum Umgang mit Risiken
Bevor Sie mit der Durchführung von Risikoanalysen beginnen, sollte die Leitung Ihrer Institution grundlegende Aspekte hierfür in einer Richtlinie zum Umgang mit Risiken festlegen:
- Unter welchen Voraussetzungen ist eine Risikoanalyse erforderlich?
- Mit welchem Verfahren werden Risiken identifiziert, eingeschätzt, bewertet und behandelt und wie ist dieses Verfahren an die Gegebenheiten der Institution angepasst und in den Sicherheitsprozess integriert?
- Welche Organisationseinheiten sind für die verschiedenen Teilaufgaben des Risikomanagements zuständig?
- Wie sind die Berichtspflichten geregelt?
- Welche Kriterien müssen erfüllt sein, damit Risiken akzeptiert werden?
- In welchen zeitlichen Intervallen und bei welchen Ereignissen müssen Risikoanalysen aktualisiert werden?
Diese Richtlinie und die zugehörigen organisatorischen Umsetzungen sollten regelmäßig auf ihre Aktualität und Angemessenheit geprüft werden.
Elementaren Gefährdungen
Elementaren Gefährdungen - Hilfsmittel für Risikoanalysen
Beschreibung
Hilfsmittel für Risikoanalysen
- Grundschutz-Kompendium enthält eine Liste 47 elementaren Gefährdungen
- Kompatibel mit vergleichbaren Zusammenstellungen in internationalen Standards und Normen
Verwendung bei der Risikoanalyse
- Elementare Gefährdungen sind für die Verwendung bei der Risikoanalyse optimiert, produktneutral (immer), technikneutral (möglichst, bestimmte Techniken prägen so stark den Markt, dass sie auch die abstrahierten Gefährdungen beeinflussen), kompatibel mit vergleichbaren internationalen Katalogen und Standards und nahtlos in den IT-Grundschutz integriert.
Effiziente Durchführung von Risikoanalysen
Da die elementaren Gefährdungen hauptsächlich die effiziente Durchführung von Risikoanalysen ermöglichen sollen, wurde der Fokus darauf gerichtet, tatsächliche Gefahren zu benennen.
- Gefährdungen, die überwiegend die fehlende oder unzureichende Umsetzung von Sicherheitsmaßnahmen thematisieren und somit auf indirekte Gefahren verweisen, wurden bewusst nicht benannt.
- Bei der Erarbeitung der Übersicht der elementaren Gefährdungen wurde mit betrachtet, welcher Grundwert der Informationssicherheit (Vertraulichkeit, Integrität, Verfügbarkeit) durch die jeweilige Gefährdung beschädigt würde.https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium/Elementare_Gefaehrdungen.pdf?__blob=publicationFile&v=4
- Da diese Information bei verschiedenen Schritten der Sicherheitskonzeption von Interesse ist, wird sie in der folgenden Tabelle mit aufgeführt.
- Nicht alle elementaren Gefährdungen lassen sich auf genau einen Grundwert abbilden, gleichwohl betreffen verschiedene Gefährdungen mehrere Grundwerte.
- Dabei ist dies so zu interpretieren, dass durch die jeweilige Gefährdung die dazu aufgeführten Grundwerte direkt beeinträchtigt werden.
- Bei vielen Gefährdungen lässt sich diskutieren, inwieweit alle drei Grundwerte betroffen sein könnten, weil sich auch indirekte Auswirkungen ableiten lassen.
- So wird z. B. zu G 0.1 Feuer als einziger betroffener Grundwert „Verfügbarkeit“ genannt.
- Natürlich könnte ein Feuer einen Datenträger auch so beschädigen, dass die abgespeicherten Informationen zwar noch vorhanden wären, aber deren Integrität verletzt wäre.
- Ein anderes Szenario könnte sein, dass bei einem Brand vertrauliche Unterlagen durch Rettungsmaßnahmen für Unbefugte zugänglich wären.
- Dies wären zwar indirekte Auswirkungen auf die Grundwerte Vertraulichkeit und Integrität, aber nur die Verfügbarkeit wäre unmittelbar beeinträchtigt.
Gefährdungsübersicht
Beschreibung
Erster Schritt einer Risikoanalyse
- Risiken identifizieren, denen ein Zielobjekt ausgesetzt ist
- Beschreibung
- Welchen Gefährdungen das Objekt unterliegt
- Anhand der elementaren Gefährdungen als Ausgangspunkt
Grundschutz Bausteine
- Abdeckung mit Grundschutz Bausteine
Abdeckung | Beschreibung |
---|---|
Ausreichend | Alle Aspekte des Zielobjektes können vollständig mit IT-Grundschutz-Bausteinen modelliert werden
|
Unzureichend | Keine ausreichende Abdeckung durch IT-Grundschutz-Bausteine
|
Relevanz einer Gefährdung
Nur Gefährdungen mit direkter Relevanz in die Gefährdungsübersicht aufnehmen
- Einwirkungen
direkt | unmittelbar |
indirekt | über andere, allgemeinere Gefährdungen auf das betrachtete Objekt einwirkend |
- Aufgabe
Prüfen, ob weitere elementare Gefährdungen einen nennenswerten Schaden hervorrufen können
- Die Relevanz einer Gefährdung mit der möglichen Einwirkung einer Gefährdung bestimmen
Erstellung einer Gefährdungsübersicht
Zusätzliche Gefährdungen
Ermittlung zusätzlicher Gefährdungen BSI/200-3/Gefährdungsübersicht#Zusätzliche_Gefährdungen
Beispiel
- Relevante IT-Grundschutz-Bausteine für Virtualisierungsserver S007
- SYS.1.1 Allgemeiner Server
- SYS.1.3 Server unter Unix
- SYS.1.5 Virtualisierung
- Referenzierten elementaren Gefährdungen
Aus den in diesen Bausteinen referenzierten elementaren Gefährdungen lässt sich die folgende auszugsweise wiedergegebene Übersicht relevanter Gefährdungen zusammenstellen
Gefährdung | Beschreibung |
---|---|
G 0.14 | Ausspähen von Informationen (Spionage) |
G 0.15 | Abhören |
G 0.18 | Fehlplanung oder fehlende Anpassung |
G 0.19 | Offenlegung schützenswerter Informationen |
G 0.21 | Manipulation von Hard- oder Software |
G 0.22 | Manipulation von Informationen |
G 0.23 | Unbefugtes Eindringen in IT-Systeme |
G 0.25 | Ausfall von Geräten oder Systemen |
G 0.26 | Fehlfunktion von Geräten oder Systemen |
G 0.28 | Software-Schwachstellen oder -Fehler |
G 0.30 | Unberechtigte Nutzung oder Administration von Geräten und Systemen |
G 0.31 | Fehlerhafte Nutzung oder Administration von Geräten und Systemen |
G 0.32 | Missbrauch von Berechtigungen |
G 0.40 | Verhinderung von Diensten (Denial of Service) |
G 0.43 | Einspielen von Nachrichten |
G 0.45 | Datenverlust |
G 0.46 | Integritätsverlust schützenswerter Informationen |
Risikoeinstufung
Häufigkeit und Auswirkungen
- Häufigkeit und Auswirkungen einschätzen
Die Höhe eines Risikos ergibt sich aus der Häufigkeit einer Gefährdung und der drohenden Schadenshöhe
- Ein Risiko ist umso größer, je häufiger eine Gefährdung ist, umgekehrt sinkt es, je geringer der mögliche Schaden ist
Grundsätzlich können beide Größen sowohl quantitativ, also mit genauen Zahlenwerten, als auch qualitativ, also mit Hilfe von Kategorien zur Beschreibung der Größenordnung, bestimmt werden
- Erfahrungsgemäß sind jedoch hinreichend verlässliche quantitative Angaben, insbesondere zur Häufigkeit von Schadensereignissen im Bereich der Informationssicherheit, so gut wie nicht vorhanden und auch dort, wo es verlässliche Statistiken gibt, sind daraus abgeleitete exakte Prognosen auf zukünftige Ereignisse problematisch, wenn nicht gar unmöglich
- Daher empfiehlt sich ähnlich wie bei der Schutzbedarfsfeststellung ein qualitativer Ansatz mit einer begrenzten Anzahl an Kategorien
Die Anzahl der Kategorien, mit denen Sie Eintrittshäufigkeit und Schadenshöhe beschreiben, und deren Definition sollten auf die konkreten Gegebenheiten Ihrer Institution angepasst sein
- Im Allgemeinen genügen maximal fünf Stufen zur Abgrenzung von Häufigkeiten und Auswirkungen
- Wenn bei Ihnen ein übergeordnetes Risikomanagement bereits eingeführt ist, empfiehlt es sich zudem, Informationssicherheitsrisiken in Übereinstimmung mit den dort verwendeten Systemen zur Bewertung und Klassifikation von Risiken zu verwenden
Nachfolgend als Beispiel ein Vorschlag aus dem -Standard 200-3 für ein mögliches vierstufiges Klassifikationsschema zur Bewertung von Eintrittshäufigkeiten
- Klassifikation von Häufigkeiten
Eintrittshäufigkeit | Beschreibung |
---|---|
selten | Das Ereignis könnte nach heutigem Kenntnisstand höchstens alle fünf Jahre auftreten |
mittel | Das Ereignis tritt einmal alle fünf Jahre bis einmal im Jahr ein |
häufig | Das Ereignis tritt einmal im Jahr bis einmal pro Monat ein |
Sehr häufig | Das Ereignis tritt mehrmals im Monat ein |
Auch für die Klassifikation möglicher Schadensauswirkungen enthält der -Standard als Beispiel ein vierstufiges Klassifikationsschema
- Klassifikation von Schadensauswirkungen
Schadenshöhe | Schadensauswirkungen |
---|---|
vernachlässigbar | Die Schadensauswirkungen sind gering und können vernachlässigt werden |
begrenzt | Die Schadensauswirkungen sind begrenzt und überschaubar |
beträchtlich | Die Schadensauswirkungen können beträchtlich sein |
existenzbedrohend | Die Schadensauswirkungen können ein existenziell bedrohliches, katastrophales Ausmaß annehmen |
Berücksichtigen Sie bei der Definition der Kategorien zur Bewertung der Auswirkungen einer Gefährdung auch die bei Ihnen vorgenommene Definition der Schutzbedarfskategorien
- Beide Systeme sollten in einer Institution zueinander passend definiert werden
Risikobewertung und Risikobehandlung
Nachdem Sie die Eintrittshäufigkeiten und Schadensauswirkungen einer Gefährdung eingeschätzt haben, können Sie das aus beiden Faktoren resultierende Risiko bewerten
- Es ist auch hierfür zweckmäßig, eine nicht zu große Anzahl an Kategorien zu verwenden, drei bis fünf sind üblich, oft werden auch nur zwei Kategorien verwendet
- Der -Standard 200-3 enthält ein Beispiel mit vier Stufen, das Sie an die Gegebenheiten und Erfordernisse Ihrer Institution anpassen können
Risikoklassifikation
Risikokategorie | Definition |
---|---|
gering | Die bereits umgesetzten oder zumindest im Sicherheitskonzept vorgesehenen Maßnahmen bieten einen ausreichenden Schutz |
mittel | Die bereits umgesetzten oder zumindest im Sicherheitskonzept vorgesehenen Maßnahmen reichen möglicherweise nicht aus |
hoch | Die bereits umgesetzten oder zumindest im Sicherheitskonzept vorgesehenen Sicherheitsmaßnahmen bieten keinen ausreichenden Schutz vor der jeweiligen Gefährdung. Das Risiko kann mit einer großen Wahrscheinlichkeit nicht akzeptiert werden |
sehr hoch | Die bereits umgesetzten oder zumindest im Sicherheitskonzept vorgesehenen Sicherheitsmaßnahmen bieten keinen ausreichenden Schutz vor der jeweiligen Gefährdung. Das Risiko kann mit einer sehr großen Wahrscheinlichkeit nicht akzeptiert werden |
Risikomatrix
Zur Darstellung von Eintrittshäufigkeiten, Schadensauswirkungen und Risiken ist eine Risikomatrix ein gebräuchliches und sehr anschauliches Instrument
- Auch hierzu enthält der BSI-Standard 200-3 einen Vorschlag, den Sie an die Festlegungen Ihrer Institution zur Risikobewertung anpassen können
Die Risikobewertung nehmen Sie vor, um begründete Entscheidungen zum Umgang mit möglichen Gefährdungen treffen zu können
- Eine solche Entscheidung kann sein, durch zusätzliche Maßnahmen die Eintrittshäufigkeit und/oder die Auswirkungen einer Gefährdung zu verringern
- Mithilfe der Risikomatrix können Sie auch verdeutlichen, wie sich die Umsetzung solcher Maßnahmen auf ein Risiko auswirken würde
- Beispiel
- Risikomanagementsystem
- Erstellung der Gefährdungsübersicht
Ermittlung zusätzlicher Gefährdungen
- Quellen
- BSI-Gefährdungskataloge
- Produktdokumentation
- Publikationen über Schwachstellen im Internet
- Auch Schwächen eingesetzter Komponenten und Protokolle
- Anfrage bei Herstellern
- Fachliteratur
- Bewertungskriterien (z. B. Common Criteria)
- eigene Bedrohungsanalysen
- Weitere Informationsquellen
- Security Mailing List Archive: seclists.org
- 47. Elementargefährdung
G 0.47 Schädliche Seiteneffekte IT-gestützter Angriffe
- Von Tätern nicht beabsichtigt Auswirkungen
- nicht die unmittelbar angegriffenen Zielobjekte betreffen oder
- unbeteiligte Dritte schädigen
Beispiele
- Für DDoS-Angriffe als Bots missbrauchte IT-Systeme
- (IoT-) Geräte, die als ein Einfallstor in Netze missbraucht werden
- Ransomware-Angriffe auf IT-Systeme Kritischer Infrastrukturen
Lösungsansätze
- Die Bewertung des Risikos erfolgt durch den populären Matrix-Ansatz anhand weniger Stufen
- Wenn das Risiko nicht akzeptabel ist, werden Maßnahmen zur Senkung, Vermeidung oder Übertragung des Risikos in Betracht gezogen
- Im Sinne einer Was-Wäre-Wenn-Analyse wird dann in der Risiko-Matrix "eingezeichnet", wie sich das Risiko bei Umsetzung der jeweiligen Maßnahme ändern würde
- Dadurch wird automatisch auch das Restrisiko dokumentiert
- Restrisiko muss der Leitung zur Zustimmung vorgelegt werden (Risikoakzeptanz)
Bewertungsverfahren
Beispiel
- Als Beispiel für die Risikobewertung werden zwei Gefährdungen für den Virtualisierungsserver S007 bei der RECPLAST betrachtet
- Die Risiken werden mit Hilfe der zuvor beschriebenen Kategorien für Häufigkeiten, Auswirkungen und resultierendem Risiko bewertet
Risikobewertung für die Gefährdung G 0.15 Abhören
- Das Risiko besteht, weil zu Wartungszwecken die auf dem Server S007 betriebenen virtuellen Maschinen von Zeit zu Zeit auf einen zweiten Virtualisierungsserver verschoben werden
- Bei dieser Live-Migration werden folglich die aktuelle Speicherinhalte der virtuellen Maschinen zwischen beiden Servern übertragen
- Da wegen der damit verbundenen Performance-Verluste darauf verzichtet wurde, die Daten zu verschlüsseln, können die übertragenen Informationen grundsätzlich mitgelesen werden
- Dies gilt auch für Datenübertragungen vom Virtualisierungsserver S007 zu den angeschlossenen zentralen Speichersystemen
- Bei der Bewertung werden die Eintrittshäufigkeit und die möglichen Auswirkungen betrachtet
- Die Eintrittshäufigkeit wird auch ohne zusätzliche Maßnahmen als selten bewertet
- Diese Entscheidung wurde getroffen, weil durch eine geeignete Netzsegmentierung und Konfiguration dafür gesorgt wurde, dass die Datenübertragungen bei der Live-Migration wie auch zu den Speichersystemen in abgetrennten, von außen nicht zugänglichen Teilnetzen stattfinden, auf die nur die berechtigten und als vertrauenswürdig eingeschätzten Administratoren Zugriff haben
- Gleichwohl handelt es sich bei den übertragenen Daten um solche, bei denen Verletzungen der Vertraulichkeit beträchtliche negative Folgen haben könnten
- Die Auswirkungen bei Eintreten der Gefährdung werden daher als beträchtlich eingestuft
- Aus diesen Einschätzungen ergibt sich gemäß sich der festgelegten Kriterien für die Risikobewertung ein insgesamt mittleres Risiko
"Risikomatrix mit eingetragener Gefährdung. (Bild hat eine Langbeschreibung)"
Risikobewertung für die Gefährdung G 0.25 Ausfall von Geräten oder Systemen
- Der BSI-Standard 200-3 enthält in Kapitel 5.2 verschiedene Beispiele dafür, wie eine Risikobewertung tabellarisch dokumentiert werden kann
- Da oftmals eine Vielzahl an Gefährdungen zu berücksichtigen sind, kann auf ausführliche Erläuterungen zu den vorgenommenen Bewertungen verzichtet werden
- Die folgende Tabelle zeigt anhand der Gefährdung G 0.25 eine hinreichende Dokumentation der Risikobewertung
Risikobewertung
- Virtualisierungsserver S007
Vertraulichkeit | hoch |
Integrität | hoch |
Verfügbarkeit | hoch |
- Gefährdung G 0.25 Ausfall von Geräten oder Systemen
Beeinträchtigte Grundwerte | Verfügbarkeit |
Eintrittshäufigkeit ohne zusätzliche Maßnahmen | mittel |
Auswirkungen ohne zusätzliche Maßnahmen | beträchtlich |
Risiko ohne zusätzliche Maßnahmen | mittel |
Risikobehandlung
Risikoakzeptanzkriterien
Risikoappetit
Je nach Risikoappetit sind unterschiedliche Risikoakzeptanzkriterien möglich
- Kapitel 5
Im Folgenden wird davon ausgegangen
- „geringe“ Risiken grundsätzlich akzeptiert werden
- „mittlere“, „hohe“ und „sehr hohe“ Risiken jedoch nur in Ausnahmefällen
In der Praxis ergeben sich im Rahmen der Risikoeinstufung meist mehrere Gefährdungen, aus denen sich Risiken in den Stufen „mittel“, „hoch“ oder „sehr hoch“ ergeben
- Es muss entschieden werden, wie mit diesen verbleibenden Risiken umgegangen wird
- Es müssen geeignete Risikobehandlungsoptionen ausgewählt werden
Risikobehandlung
Option | Beschreibung |
---|---|
Vermeiden | Risikoursache ausschließen |
Reduzieren | Rahmenbedingungen, die zur Risikoeinstufung beigetragen haben, modifizien |
Transfer | Risiken mit anderen Parteien teilen |
Akzeptanz | Weil die mit dem Risiko einhergehenden Chancen wahrgenommen werden sollen |
- Vermeidung - Reduktion - Transfer
Im Folgenden werden die Risikobehandlungsoptionen der Vermeidung, Reduktion und des Transfers näher betrachtet.
- Darauf aufbauend, muss eine Institution Risikoakzeptanzkriterien festlegen und die Risikobehandlung darauf abbilden.
- Bei der Entscheidung, wie mit den identifizierten Risiken umgegangen wird, muss auf jeden Fall die Leitungsebene beteiligt werden, da sich aus der Entscheidung unter Umständen erhebliche Schäden ergeben oder zusätzliche Kosten entstehen können.
Für jede Gefährdung in der vervollständigten Gefährdungsübersicht mit Risikokategorie „mittel“, „hoch“ oder „sehr hoch“ müssen folgende Fragen beantwortet werden: A: Risikovermeidung: Ist es sinnvoll, das Risiko durch eine Umstrukturierung des Geschäftsprozesses oder des Informationsverbunds zu vermeiden?
- Gründe für diesen Ansatz können etwa sein
- Alle wirksamen Gegenmaßnahmen sind mit hohem Aufwand verbunden und damit sehr teuer, die verbleibende Gefährdung kann aber trotzdem nicht hingenommen werden.
- Die Umstrukturierung bietet sich ohnehin aus anderen Gründen an, z. B. zur Kostensenkung.
- Es kann einfacher und eleganter sein, die vorhandenen Abläufe zu ändern, als sie durch Hinzufügen von Sicherheitsmaßnahmen komplexer zu machen.
- Alle wirksamen Gegenmaßnahmen würden erhebliche Einschränkungen für die Funktion oder den
Komfort des Systems mit sich bringen. B: Risikoreduktion (Risikomodifikation): Ist es sinnvoll und möglich, das Risiko durch weitere Sicherheitsmaßnahmen zu reduzieren?
- Das Risiko durch die verbleibende Gefährdung kann möglicherweise gesenkt werden, indem eine oder mehrere ergänzende Sicherheitsmaßnahmen erarbeitet und umgesetzt werden, die der Gefährdung entgegenwirken.
- Als Informationsquellen über ergänzende Sicherheitsmaßnahmen kommen beispielsweise folgende infrage:
- die Dokumentation und der Service des Herstellers, wenn es sich bei dem betroffenen Zielobjekt um ein Produkt handelt,
- Standards und Best Practices, wie sie beispielsweise von Gremien im Bereich der Informationssicherheit erarbeitet werden,
- andere Veröffentlichungen und Dienstleistungen, die beispielsweise im Internet oder von spezialisierten Unternehmen angeboten werden,
- Erfahrungen, die innerhalb der eigenen Institution oder bei Kooperationspartnern gewonnen wurden.
Der hypothetische Aufwand und mögliche Kosten für gegebenenfalls erforderliche Sicherheitsmaßnahmen und Informationen über bereits vorhandene Sicherheitsmechanismen sind wichtige Entscheidungshilfen. C: Risikotransfer (Risikoteilung): Ist es sinnvoll, das Risiko an eine andere Institution zu übertragen, beispielsweise durch den Abschluss eines Versicherungsvertrags oder durch Outsourcing? Gründe für diesen Ansatz können beispielsweise sein:
- Die möglichen Schäden sind rein finanzieller Art.
- Es ist ohnehin aus anderen Gründen geplant, Teile der Geschäftsprozesse auszulagern.
- Der Vertragspartner ist aus wirtschaftlichen oder technischen Gründen besser in der Lage, mit dem
Risiko umzugehen. Wenn im Rahmen der Risikobehandlung zusätzliche Sicherheitsanforderungen identifiziert werden, muss die Risikoeinstufung (siehe nachfolgende Beispiele) für die betroffenen Zielobjekte entsprechend angepasst werden.
- Zu beachten ist dabei, dass neue Anforderungen unter Umständen nicht nur Auswirkungen auf das jeweils analysierte Zielobjekt haben, sondern auch auf andere Zielobjekte.
Die zusätzlichen Anforderungen und die daraus resultierenden Sicherheitsmaßnahmen werden im Sicherheitskonzept dokumentiert. Wenn im Rahmen der Risikobehandlung Änderungen an den Geschäftsprozessen oder am Informationsverbund vorgenommen wurden, etwa durch Risikovermeidung oder Risikotransfer, müssen diese insgesamt im Sicherheitskonzept berücksichtigt werden.
- Dies betrifft im Allgemeinen auch Arbeitsschritte, die in der IT-Grundschutz-Vorgehensweise gemäß BSI-Standard 200-2 dargestellt sind, beginnend bei der Strukturanalyse.
- Selbstverständlich kann dabei aber auf die bisher erarbeiteten Informationen und Dokumente zurückgegriffen werden.
Beim Risikotransfer ist die sachgerechte Vertragsgestaltung einer der wichtigsten Aspekte.
- Besonders bei Outsourcing-Vorhaben sollte hierzu auf juristischen Sachverstand zurückgegriffen werden.
- Die Entscheidung wird von der Leitungsebene getroffen und nachvollziehbar dokumentiert.
D: Risikoakzeptanz: Können die Risiken auf Basis einer nachvollziehbaren Faktenlage akzeptiert werden? Die Schritte der Risikoeinstufung und Risikobehandlung werden so lange durchlaufen, bis die Risikoakzeptanzkriterien der Institution erreicht sind und das verbleibende Risiko („Restrisiko“) somit im Einklang mit den Zielen und Vorgaben der Institution steht. Das Restrisiko muss anschließend der Leitungsebene zur Zustimmung vorgelegt werden (Risikoakzeptanz).
- Damit wird nachvollziehbar dokumentiert, dass die Institution sich des Restrisikos bewusst ist.
- Idealerweise akzeptiert eine Institution nur Risiken der Stufe „gering“.
- In der Praxis ist dies aber nicht immer zweckmäßig.
- Gründe, auch höhere Risiken zu akzeptieren, können beispielsweise sein:
- Die entsprechende Gefährdung führt nur unter ganz speziellen Voraussetzungen zu einem Schaden.
- Gegen die entsprechende Gefährdung sind derzeit keine wirksamen Gegenmaßnahmen bekannt und sie lässt sich in der Praxis auch kaum vermeiden.
- Aufwand und Kosten für wirksame Gegenmaßnahmen überschreiten den zu schützenden Wert.
- Hinweis
Auch diejenigen IT-Grundschutz-Anforderungen, die im IT-Grundschutz/Kompendium als Anforderungen bei erhöhtem Schutzbedarf aufgeführt sind sowie die zugehörigen Maßnahmen, können als Anhaltspunkte ffr weiterführende Sicherheitsmaßnahmen im Rahmen einer Risikoanalyse herangezogen werden.
- Dabei handelt es sich um Beispiele, die über das dem Stand der Technik entsprechende Schutzniveau hinausgehen und in der Praxis häufig angewandt werden.
- Zu beachten ist jedoch, dass Anforderungen bei erhöhtem Schutzbedarf grundsätzlich empfehlenswert sind, aber auch bei hohen Sicherheitsanforderungen nicht automatisch verbindlich werden.
- Somit müssen sie auch nicht zwingend in eine Risikoanalyse einbezogen werden.
Risikobereitschaft
Risikobehandlungsoptionen
- In der Regel wird die Gefährdungsbewertung aufzeigen, dass nicht alle Gefährdungen durch das vorhandene Sicherheitskonzept ausreichend abgedeckt sind
- In diesem Fall müssen Sie überlegen, wie angemessen mit den verbleibenden Gefährdungen umgegangen werden kann, und eine begründete Entscheidung hierzu treffen.
Option | Beschreibung | Erläuterung |
---|---|---|
A | Risikovermeidung | Umstrukturierung
|
B | Risikoreduktion/Risikomodifikation | Sicherheitsmaßnahmen
|
C | Risikotransfer | Risiken verlagern
|
D | Risikoakzeptanz | Risiken sind akzeptabel
Ein Risiko kann nur dann akzeptiert werden, wenn das (z. B. nach Umsetzung von Schutzmaßnahmen verbleibende) Restrisiko von der Institution getragen werden kann, sich also im Einklang mit den festgelegten Risikoakzeptanzkriterien befindet. |
Risikoverfolgung
- Risiken unter Beobachtung
Bei der Risikoanalyse können unter Umständen Gefährdungen identifiziert werden, aus denen Risiken resultieren, die zwar derzeit akzeptabel sind, in Zukunft jedoch voraussichtlich steigen werden.
- Dies bedeutet, dass sich in der weiteren Entwicklung ein Handlungsbedarf ergeben könnte.
- In solchen Fällen ist es sinnvoll und üblich, bereits im Vorfeld ergänzende Sicherheitsmaßnahmen zu erarbeiten und vor
zubereiten, die in Betrieb genommen werden können, sobald die Risiken inakzeptabel werden. Diese ergänzenden Sicherheitsmaßnahmen sind zu dokumentieren und vorzumerken.
- Die Risiken werden beobachtet und sobald sie nicht mehr akzeptabel sind, werden die vorgemerkten ergänzen
den Sicherheitsmaßnahmen überprüft, gegebenenfalls aktualisiert und in das Sicherheitskonzept übernommen.
- Die Risikoeinstufung wird gemäß Kapitel 5 entsprechend angepasst.
- Nachdem die Risikobehandlung für die verbleibenden Risiken abgeschlossen ist und die Restrisiken von der Leitungsebene akzeptiert wurden, kann das Sicherheitskonzept für den betrachteten Informationsverbund fertiggestellt werden.
Generell sollten jedoch alle Risiken beobachtet werden, also nicht nur solche, die in Zukunft voraussichtlich steigen werden.
- Um die Beobachtung der Risiken und Anpassung der Maßnahmen bzw.
Handlungsalternativen zu dokumentieren, ist es in der Praxis üblich, hierfür Risikoregister oder Risikoverzeichnisse anzulegen. Für benutzerdefinierte Bausteine müssen die Gefährdungen in regelmäßigen Zeitabständen überprüft und neu bewertet werden.
- Da die Zielobjekte, die mit benutzerdefinierten Bausteinen abgedeckt werden, den normalen Anwendungsfall des IT-Grundschutz/Kompendiums überschreiten, müssen die hier beschriebenen Aktivitäten zur Beobachtung von Risiken in jedem Fall berücksichtigt werden.
Beispiel
Für die in Kapitel 5 mit Risikokategorie „mittel“ oder „hoch“ identifizierten Gefährdungen wurden folgende Entscheidungen getroffen (Auszug)
Virtualisierungsserver S1
Vertraulichkeit: hoch Integrität: hoch Verfügbarkeit: hoch Gefährdung Risikokategorie Risikobehandlungsoption
G 0.15 Abhören
(hier mittel Live-Migration) D: Risikoakzeptanz (Risikoübernahme ohne zusätzliche Maßnahmen) Auf das Live-Migration-Netz dürfen nur befugte Administratoren zugreifen. Diesen wird vertraut. Das bestehende Restrisiko wird von der RECPLAST als vertretbar eingeschätzt und übernommen.
G 0.25 Ausfall von Geräten mittel
B: Risikoreduktion oder Systemen Ergänzende Sicherheitsmaßnahme: mit ergänzender(hier Ausfall des zentralen Der zentrale Verwaltungsserver wird redundant Maßnahme: Verwaltungsservers) ausgelegt, damit sichergestellt ist, dass bei einem gering Ausfall die virtuelle Infrastruktur weiterhin problemlos betrieben wird. Das System wird so konfiguriert, dass bei Ausfall des Verwaltungsservers automatisch auf einen Ersatzrechner innerhalb des Clusters umgeschaltet wird.
Datenbank A1
Vertraulichkeit: hoch Integrität: hoch Verfügbarkeit: hoch Gefährdung G 0.28 Software-Schwachstellen oder -Fehler Risikokategorie hoch mit ergänzen-der Maßnahme:gering Risikobehandlungsoption B: Risikoreduktion Ergänzende Sicherheitsmaßnahme: Die manuelle Erfassung und Freigabe der Arbeits stunden würde einen erheblichen Mehraufwand sei tens der Abteilungsleiter und der Personalabteilung darstellen, der aktuell nicht geleistet werden kann. Bis die Webanwendung durch eine neue Anwen dung abgelöst wird, setzt man eine Datenbank-Fire wall ein, um das bestehende Risiko zu reduzieren. Hierfür erstellen die Datenbankadministratoren ei nen geeigneten Satz an Regeln, die verhindern, dass an der Webanwendung eingeschleuste SQL-Anfra gen auf der Datenbank ausgeführt werden.
- Der Per
formance-verlust, der dadurch entsteht, dass eine Datenbank-Firewall eingesetzt werden muss, wird für die Webanwendung als tolerabel eingeschätzt.
Datenbank A1
Vertraulichkeit: hoch Integrität: hoch Verfügbarkeit: hoch Gefährdung G 0.32 Missbrauch von Berechtigungen Risikokategorie Risikobehandlungsoption mittel
B: Risikoreduktion
Ergänzende Sicherheitsmaßnahme: mit ergänzenderUm das bestehende Risiko zu reduzieren, wird ein Maßnahme: zusätzliches Modul des Datenbankmanagement gering systems beschafft, mittels dessen administrative Zugriffe auf kritische Daten in Datenbanken verhindert werden. Zudem werden Aktionen von Administratorkennungen sicher protkolliert und aus gewertet, sodass versuchte Verstöße frühzeitig erkannt werden können. Smart-Meter-Gateway-Administration Zx Vertraulichkeit: hoch Integrität: hoch Verfügbarkeit: hoch Gefährdung Risikokategorie Risikobehandlungsoption
G 0.18 Fehlplanung oder
hoch
B: Risikoreduktion
fehlende Anpassung Ergänzende Sicherheitsmaßnahme: mit ergänzender(hier: fehlende oder unzu- Um das bestehende Risiko zu reduzieren, wird die Maßnahme: reichende Netzsegmentie Smart-Meter-Gateway-Infrastruktur geeignet seg gering rung) mentiert.
- Hierbei werden IT-Systeme, auf denen
die Benutzeroberfläche einer SMGW-Admin-Soft ware betrieben wird, in einem eigenen Teilnetz be trieben.
- Dieses ist so konzipiert, dass es gegenüber
anderen Teilnetzen nur die minimal notwendigen und zu begründenden Netzkoppelungen und Kommunikationsbeziehungen aufweist. Um Netzsegmente logisch voneinander zu tren nen, werden Firewalls eingesetzt.
Smart-Meter-Gateway-Administration Zx
Vertraulichkeit: hoch Integrität: hoch Verfügbarkeit: hoch G 0.32 Missbrauch von Be hoch rechtigungen mit ergänzenderMaßnahme: gering usw. B: Risikoreduktion Ergänzende Sicherheitsmaßnahme: Um das bestehende Risiko zu reduzieren, wird ein Rollen- und Rechtekonzept umgesetzt und doku mentiert, das den Grundsätzen einer Funktions trennung genügt und nur Berechtigten einen Zu griff erlaubt.
- Im Konzept ist auch auf eine geeigne
te Rollentrennung geachtet worden.
- Zudem deckt
das Konzept auch Zutritts-, Zugangs- und Zugriffs berechtigungen ab. 38
Restrisiko
- Restrisiko bleibt
- Risiken unter Beobachtung
Manche Risiken können zwar vorübergehend in Kauf genommen werden, es ist aber damit zu rechnen, dass sich die Gefährdungslage in Zukunft verändern wird und die Risiken dann nicht mehr akzeptiert werden können.
- In solchen Fällen empfiehlt es sich, die Risiken unter Beobachtung zu stellen und von Zeit zu Zeit zu prüfen, ob nicht doch ein Handlungsbedarf besteht.
- Es ist zudem sinnvoll, bereits im Vorfeld geeignete Schutzmaßnahmen auszuarbeiten, so dass eine rasche Inbetriebnahme möglich ist, sobald die Risiken nicht mehr akzeptabel sind.
- Beschlüsse müssen vom Management getragen werden
- Es muss dazu bereit sein, die Kosten für die Reduktion oder den Transfer von Risiken wie auch die Verantwortung für die in Kauf genommenen Risiken zu übernehmen.
- Binden Sie daher die Leitungsebene angemessen in die Beratungen ein.
- Dokumentieren Sie die Entscheidungen so, dass sie von Dritten (z. B. Auditoren) nachvollzogen werden können, und lassen Sie dieses Schriftstück vom Management unterschreiben.
Konsolidierung
Beschreibung
- Zusätzlichen Maßnahmen
Als Abschluss der Risikoanalyse sind die zusätzlichen Maßnahmen, deren Umsetzung beschlossen wurde, in das vorhandene Sicherheitskonzept zu integrieren
- Konsolidierung des Sicherheitskonzepts
- Darauf aufbauend ist der Sicherheitsprozess fortsetzen
- Prüfung zusätzlichen Sicherheitsmaßnahmen
Option | Beschreibung |
---|---|
Eignung | |
Angemessenheit | |
Benutzerfreundlichkeit | |
Zusammenwirken | mit anderen Maßnahmen |
- Änderungen
Diese Konsolidierung des Sicherheitskonzepts kann sowohl zu Anpassungen bei den zusätzlich ausgewählten Maßnahmen als auch zu Änderungen im bestehenden Konzept führen.
- Weitere Informationen
Weitere Informationen zur Konsolidierung von Sicherheitsmaßnahmen finden Sie in der nächsten Lektion.
- Konsolidierung
- Sind die Sicherheitsmaßnahmen zur Abwehr der jeweiligen Gefährdungen geeignet?
- Wirken die Sicherheitsmaßnahmen sinnvoll zusammen?
- Welche Grundschutzmaßnahmen werden durch höher- oder gleichwertige Maßnahmen ersetzt?
- Sind die Sicherheitsmaßnahmen benutzerfreundlich?
- Sind die Sicherheitsmaßnahmen angemessen?
- Verpacken der neu gefundenen Gefährdungen und Anforderungen in einem benutzerdefinierten Baustein
- Ggf. Ergänzung bestehender Bausteine um aus der Risikobewertung ermittelten Anforderungen
- Konsolidierung des Sicherheitskonzepts
Falls bei der Behandlung von verbleibenden Gefährdungen ergänzende Maßnahmen zu den bereits im Sicherheitskonzept beschriebenen Sicherheitsmaßnahmen hinzugefügt wurden, muss das Sicherheitskonzept anschließend konsolidiert werden.
Konkret bedeutet dies, dass die Sicherheitsmaßnahmen für jedes Zielobjekt anhand folgender Kriterien überprüft werden:
- Eignung der Sicherheitsmaßnahmen zur Abwehr der Gefährdungen
- Werden alle Aspekte der relevanten Gefährdungen vollständig abgedeckt?
- Stehen die getroffenen Gegenmaßnahmen im Einklang mit den Sicherheitszielen?
- Zusammenwirken der Sicherheitsmaßnahmen
- Unterstützen sich die Maßnahmen bei der Abwehr der relevanten Gefährdungen?
- Ergibt sich durch das Zusammenwirken der Maßnahmen ein wirksames Ganzes?
- Stehen die Maßnahmen nicht im Widerspruch zueinander?
- Benutzerfreundlichkeit der Sicherheitsmaßnahmen
- Sind die getroffenen Maßnahmen tolerant gegenüber Bedienungs- und Betriebsfehlern?
- Sind die getroffenen Maßnahmen für die Mitarbeiter und andere Betroffene transparent?
- Ist für die Betroffenen ersichtlich, wenn eine Maßnahme ausfällt?
- Können die Betroffenen die Maßnahme nicht zu leicht umgehen?
- Angemessenheit/Qualitätssicherung der Sicherheitsmaßnahmen
- Sind die getroffenen Maßnahmen für die jeweiligen Gefährdungen angemessen?
- Stehen die Kosten und der Aufwand für die Umsetzung in einem sachgerechten Verhältnis zum
Schutzbedarf der betroffenen Zielobjekte?
- Auf dieser Grundlage sollte das Sicherheitskonzept bereinigt und konsolidiert werden
- Ungeeignete Sicherheitsmaßnahmen sollten verworfen und nach eingehender Analyse durch wirksame Maßnahmen ersetzt werden.
- Widersprüche oder Inkonsistenzen bei den Sicherheitsmaßnahmen sollten aufgelöst und durch einheitliche und aufeinander abgestimmte Mechanismen ersetzt werden.
- Sicherheitsmaßnahmen, die von den Betroffenen nicht akzeptiert werden, sind wirkungslos. Es sollten praktikable Lösungen erarbeitet werden, die die Betroffenen möglichst wenig einschränken oder behindern.
- Zu aufwendige oder zu teure Sicherheitsmaßnahmen sollten entweder überarbeitet oder verworfen und durch angemessene Schutzmaßnahmen ersetzt werden. Allerdings gefährden zu schwache Maßnahmen die Informationssicherheit. Auch sie sollten überarbeitet oder ersetzt werden.
- Integration der Inhalte
- Bei Zielobjekten, die bereits im IT-Grundschutz/Kompendium enthalten sind, kann es sich als sinnvoll erweisen, bestehende Bausteine um aus der Risikoeinstufung ermittelte Anforderungen zu ergänzen.
- Bei Zielobjekten, die nicht hinreichend mit dem bestehenden IT-Grundschutz abgebildet werden können, kann überlegt werden, die neu gefundenen Gefährdungen und Anforderungen (siehe
Beispiele zur Smart-Meter-Gateway-Administration, Kapitel 4 und 5) in einem benutzerdefinierten Baustein zusammenzufassen.
- Beispiel (Auszug)
Bei der Konsolidierung des Sicherheitskonzepts für die RECPLAST GmbH wurde unter anderem Folgendes festgestellt:
- Zwei Jahre zuvor wurde entschieden, dass der Einsatz von Verschlüsselung zur Netzkommunikation entbehrlich ist. Eine gemeinsame Projektgruppe mit dem Auftraggeber ist zu dem Ergebnis gekommen, dass diese Entscheidung nicht mehr dem Stand der Technik entspricht.
Die Vorgaben zur Konfiguration der Router werden deshalb kurzfristig überarbeitet und an die aktuellen Bedürfnisse angepasst.
- Sowohl der Client C1 als auch der Switch N3 werden im Fertigungsbereich eingesetzt. Im Rahmen der Risikoanalyse wurde festgestellt, dass die größten Gefahren für C1 von Luftverunreinigungen, Spritzwasser und Vibrationen ausgehen. Im Rahmen eines Brainstormings ist deshalb beschlossen worden, anstelle eines handelsüblichen PCs einen Industrie-PC einsetzen, der besonders gegen physische Gefahren geschützt ist. Der Industrie-PC muss für den Einbau in
Standard-19-Zoll-Schränke geeignet sein. Ebenso muss er über ein integriertes oder ausklappbares Display sowie einen leicht auswechselbaren Luftfilter verfügen und gegen Spritzwasser und Vibrationen schützen.
- Oben genannte Anforderungen tragen den besonderen infrastrukturellen Rahmenbedingungen des Clients C1 Rechnung. Im Fertigungsbereich wird außer diesem Client noch weitere
Informationstechnik betrieben, die zwar nicht Gegenstand der Risikoanalyse ist, die aber dennoch angemessen geschützt werden muss. Das Unternehmen nimmt die Erfüllung obiger Anforderungen zum Anlass, eine Richtlinie für den sicheren Betrieb von Informationstechnik im Fertigungsbereich zu erarbeiten, usw.
- Beispiel (Auszug)
Bei der Konsolidierung des Sicherheitskonzepts für die Administration des Smart Meter Gateways ist entschieden worden, die im Rahmen der Risikoeinstufung und -behandlung ermittelten Gefährdungen
- G 0.18 Fehlplanung oder fehlende Anpassungen,
- G 0.30 Unberechtigte Nutzung oder Administration von Geräten und Systemen,
- G 0.43 Einspielen von Nachrichten usw. und die Sicherheitsanforderungen und Maßnahmen
- geeignete Netzsegmentierung
- Einsatz eines angemessenen Rollen- und Rechtekonzepts usw. in einem benutzerdefinierten Baustein zusammenzufassen
Rückführung
Beschreibung
- Nach der Konsolidierung des Sicherheitskonzepts
- Nächste Schritten
Zweiter Grundschutz-Check
Dies bedeutet insbesondere, dass in einem erneuten Grundschutz-Check
- Umsetzungsstatus der neu hinzugekommenen oder geänderten Maßnahmen
- prüfen und dokumentieren
- Zweiter Grundschutz-Check
Erforderlich!
- Da sich in der Regel durch die Risikoanalyse das Sicherheitskonzept geändert hat und der Umsetzungsstatus der neu hinzugekommenen oder geänderten Maßnahmen zu prüfen ist.
- Rückführung in den Sicherheitsprozess
- Nach der Konsolidierung des Sicherheitskonzepts kann der Sicherheitsprozess, wie er im BSI-Standard 200-2 IT-Grundschutz-Methodik beschrieben ist, fortgesetzt werden.
Arbeitsschritte
- Ergänztes Sicherheitskonzept als Basis für folgende Arbeitsschritte
- IT-Grundschutz-Check
- siehe Kapitel 8.4 der IT-Grundschutz-Methodik
- Im Rahmen der Vorarbeiten wurde bereits ein IT-Grundschutz-Check für die laut IT-Grundschutz-Modell zu erfüllenden Sicherheitsanforderungen durchgeführt.
- Da sich bei der Risikoanalyse in der Regel Änderungen am Sicherheitskonzept ergeben, ist anschließend noch der Umsetzungsstatus der neu hinzugekommenen oder geänderten Anforderungen zu prüfen.
- Gegebenenfalls veraltete Ergebnisse sollten auf den neuesten Stand gebracht werden.
- Umsetzung der Sicherheitskonzeption
- Kapitel 9 der IT-Grundschutz-Methodik
- Die im Sicherheitskonzept für die einzelnen Zielobjekte vorgesehenen Sicherheitsanforderungen müssen erfüllt werden.
- Hierfür müssen die daraus abgeleiteten Sicherheitsmaßnahmen in die Praxis umgesetzt werden, damit sie wirksam werden können.
- Dies umfasst unter anderem eine Kosten- und Aufwandsschätzung sowie die Festlegung der Umsetzungsreihenfolge.
- Überprüfung des Informationssicherheitsprozesses in allen Ebenen
- siehe Kapitel 10.1 der IT-Grundschutz-Methodik
- Zur Aufrechterhaltung und kontinuierlichen Verbesserung der Informationssicherheit müssen unter anderem regelmäßig die Erfüllung der Sicherheitsanforderungen und die Eignung der Sicherheitsstrategie überprüft werden.
- Die Ergebnisse der Überprüfungen fließen in die Fortschreibung des Sicherheitsprozesses ein.
- Informationsfluss im Informationssicherheitsprozess
- siehe Kapitel 5.2 der IT-Grundschutz-Methodik
- Um Nachvollziehbarkeit zu erreichen, muss der Sicherheitsprozess auf allen Ebenen dokumentiert sein.
- Dazu gehören insbesondere auch klare Regelungen für Meldewege und Informationsflüsse.
- Die Leitungsebene muss von der Sicherheitsorganisation regelmäßig und in angemessener Form über den Stand der Informationssicherheit informiert werden.
- ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz
- siehe Kapitel 11 der IT-Grundschutz-Methodik
- In vielen Fällen ist es wünschenswert, den Stellenwert der Informationssicherheit und die erfolgreiche Umsetzung des IT-Grundschutzes in einer Behörde bzw. einem Unternehmen transparent zu machen.
- Hierfür bietet sich eine ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz an.
- Nach der Konsolidierung des Sicherheitskonzepts kann der Sicherheitsprozess, wie er im BSI-Standard 200-2 IT-Grundschutz-Methodik (siehe [BSI2]) beschrieben ist, fortgesetzt werden.
Anhang
Kapitel | Titel | Beschreibung |
---|---|---|
9.1 | Risikobereitschaft | |
9.2 | Risikoanalyse/Meeting | Risikoanalyse-Meeting |
9.3 | BSI/200-3/Gefährdungsübersicht#Zusätzlicher Gefährdungen | |
9.4 | Zusammenspiel mit ISO/IEC 31000 |
Umsetzungsplanung
Grundschutz/Umsetzungsplanung - Lücken im Sicherheitskonzept schließen
Einleitung
- Umsetzung von IT-Sicherheitsmaßnahmen
Schritt | Beschreibung | |
---|---|---|
1 | Sichtung der Untersuchungsergebnisse |
|
2 | Konsolidierung der Maßnahmen |
|
3 | Kosten- und Aufwandsschätzung |
|
4 | Festlegung der Umsetzungsreihenfolge |
|
5 | Festlegung der Verantwortlichkeit |
|
6 | Realisierungsbegleitende Maßnahmen |
|
- Gewünschtes Sicherheitsniveau
- Alle Basis- und Standard-Anforderungen sind erfüllt
- Risikoanalysen haben ergeben, dass auch Zielobjekte mit erhöhtem Schutzbedarf angemessen geschützt sind
- IT-Grundschutz-Check
IT-Grundschutz-Check und zusätzliche Risikoanalysen führen oft zu anderen Ergebnissen
- Verbesserung
Fokus auf Aufrechterhaltung und Verbesserung
- Defizite gibt es immer
Typische Defizite
- Lücken in den vorhandenen organisatorischen Regelungen
- Mangelnde Kontrolle der geltenden Regeln
- Fehlende Sicherheitstechnik
- Unzureichender baulicher Schutz gegen Feuer, Wasser oder Diebstahl
- Lücken wirksam und effizient schließen
Bei der Umsetzungsplanung geht es darum, diese Lücken wirksam und effizient zu schließen
- Systematisches Vorgehen
Wenn viele Einzelmaßnahmen umzusetzen sind
Aufwand
- Aufwände schätzen
Budget
Budget für Informationssicherheit
- Kosten planen
Überblick über voraussichtliche Kosten der Maßnahmen
- Kostenarten schätzen
- Einmalige/wiederkehrende finanzielle Kosten
- Personeller Aufwand
- Beratung
- Schulung/Sensibilisierung
- Technische/Organisatorische Maßnahmen
- Lizenzkosten
- ...
Personal und Finanzmittel
Der Einsatz von Personal und Finanzmitteln muss vom Management getragen werden
Dies gilt insbesondere dann
- wenn die bewilligten Finanzmittel nicht für die sofortige Umsetzung sämtlicher Maßnahmen ausreichen und
- entschieden werden muss
- ob das Budget aufgestockt oder
- das Risiko in Kauf genommen werden soll
das verbleibt, wenn Maßnahmen nicht umgesetzt werden
Managemententscheidung
- Vorbereitung von Managemententscheidungen
- Einführung von Sicherheitsmaßnahmen
- Vorschlag für die Verteilung des Budgets erarbeiten
- kostengünstigere Ersatzmaßnahmen erwägen
- Restrisiken, die aus der Nichterfüllung von Sicherheitsanforderungen
- Dem Management bewusst machen
- Argumentationshilfe
- Kreuzreferenztabellen
- Entscheidung dokumentieren
- dafür sorgen, dass das Management bei der Entscheidung über das Budget durch Unterschrift dokumentiert, dass es bereit ist, die Restrisiken zu tragen
- Nicht akzeptable Risiken
Beachten Sie, dass die Erfüllung der relevanten Basis-Anforderungen das Mindest-Sicherheitsniveau gemäß IT-Grundschutz ist
- Risiken, die aus der Nichterfüllung solcher Anforderungen erwachsen, sollten daher nicht akzeptiert werden
Begleitende Maßnahmen
- Begleitende Maßnahmen festlegen
Schulung | |
Sensibilisierung | |
Akzeptanz |
- Erfolg von Maßnahmen
Hängt wesentlich davon ab, wie diese von den Mitarbeitern akzeptiert und angewandt werden
- Einführung neuer Sicherheitsmaßnahmen
Betroffene Mitarbeiter ausreichend schulen
- Für mögliche Probleme sensibilisieren
Schulung
- Planen Sie Schulungsmaßnahmen ein
Die Einführung neuer Sicherheitsmaßnahmen erfordert
- Aufgaben- und produktbezogene Schulungen
- Für die betroffenen Mitarbeiter
Beispiel
- Was nützt etwa ein neu angeschaffter Feuerlöscher, wenn die Mitarbeiter im Brandfall nicht sachgerecht mit ihm umgehen können?
- Beispiele für zweckmäßige Schulungen
Bereich | Beschreibung |
---|---|
Sicherheitsmanagement |
|
Firewall | Wenn die Schnittstelle zum Internet durch eine Firewall geschützt werden soll, benötigt der zuständige Netzadministrator Kenntnisse über deren sichere Installation, Konfiguration und Administration |
Verschlüsselung | Der Einsatz von Verschlüsselungssoftware zum Schutz der Vertraulichkeit personenbezogener oder unternehmenskritischer Daten erfordert nicht nur den Aufbau von Know-how zu dem eingesetzten Produkt, sondern auch Regeln für dessen Anwendung:
Die auf diese und andere Fragen gefundenen Lösungen müssen den Mitarbeitern verständlich gemacht werden |
Sensibilisierung
- Sensibilisierung betroffener Mitarbeiter
Schulung alleine garantiert noch kein sicherheitsgerechtes Verhalten
- Dauerhafte Wirksamkeit von Sicherheitsmaßnahmen
Mitarbeiter einbeziehen
- Für Informationssicherheit sensibilisieren
- Bereitschaft schaffen, die erforderlichen Maßnahmen umzusetzen
- Notwendige Verhaltensregeln zu beachten
- Auch Unbequemlichkeiten zu akzeptieren
- Feedback aufnehmen
- Negative Beispiele
Bereich | Beschreibung |
---|---|
Brandschutz | Brandschutztüren verlieren ihre Schutzwirkung, wenn sie mit Holzkeilen offen gehalten werden, weil den Mitarbeitern das ständige Öffnen der Türen zu umständlich ist |
E-Mail-Verschlüsselung | Der Kauf von Software zur E-Mail-Verschlüsselung wird zur Fehlinvestition, wenn die Mitarbeiter diese nicht benutzen, weil sie sich der Gefährdungen der Vertraulichkeit nicht bewusst sind und ihre E-Mails weiterhin unverschlüsselt versenden, auch solche mit vertraulichem Inhalt |
Passwörter | Passwörter bedeuten immer einen zusätzlichen Arbeitsschritt vor der eigentlichen Aufgabe
|
Lästige Pflicht | Wenn die Mitarbeiter diese Anforderungen lediglich als lästige Pflicht betrachten, werden Sie dazu neigen, sie zu umgehen, indem sie unsichere Passwörter wählen oder Zettel mit den Passwörtern in der Nähe des Rechners platzieren |
Netzadministrator | Ein Netzadministrator, der seine Probleme bei der Installation eines Sicherheitsgateways unter Angabe seiner dienstlichen Adresse in einem Internet-Forum diskutiert, gefährdet die Schutzwirkung der Software, um deren Installation er sich bemüht |
Den betroffenen Mitarbeitern muss der Sinn der neuen Sicherheitsmaßnahmen verständlich gemacht werden, sei es in Gesprächen, in eigens anberaumten Versammlungen, während regelmäßig stattfindender Besprechungen oder in schriftlicher Form
Akzeptanz
- Überprüfen Sie die Akzeptanz der Maßnahmen
Maßnahmen, die von den Mitarbeitern nicht akzeptiert werden, drohen zu scheitern.
Überprüfen Sie daher nach Einführung der Sicherheitsmaßnahmen, ob diese tatsächlich von den Mitarbeitern angenommen werden
- Sollte dies nicht oder nur eingeschränkt der Fall sein, so versuchen Sie, die Ursachen dafür zu ermitteln, und leiten Sie bei Bedarf zusätzliche Maßnahmen zur Sensibilisierung ein
Konsolidierung
Maßnahmen konsolidieren - Beschreibung
Beschreibung
- Ergebnisse des IT-Grundschutz-Checks
Im ersten Schritt sind aus den Ergebnissen des IT-Grundschutz-Checks und eventuell durchgeführter Risikoanalysen diejenigen Anforderungen herauszufiltern, die nicht oder nur teilweise erfüllt sind
- Übersichtliche Dokumentation
Eine übersichtliche Dokumentation erhalten Sie, wenn Sie die unzureichend erfüllten Anforderungen tabellarisch zusammenstellen und dabei nach den betroffenen Zielobjekten gruppieren, etwa nach dem gesamten Informationsverbund oder bestimmten Räumen und IT-Systemen
- Maßnahmen festlegen
Legen Sie anschließend Maßnahmen fest, mit denen Sie diese Sicherheitslücken schließen können
- Als Hilfsmittel hierfür können Sie die Umsetzungshinweise zu den einzelnen IT-Grundschutz-Bausteinen verwenden
- Zusammenhang prüfen
Anschließend betrachten Sie die Maßnahmen im Zusammenhang und prüfen
- Ob einzelne Maßnahmen überflüssig werden, weil andere zu realisierende Maßnahmen einen mindestens gleichwertigen Schutz für das jeweilige Zielobjekt bewirken
- welche Maßnahmen noch konkretisiert und an die individuellen Gegebenheiten der Institution angepasst werden müssen und
- ob die Maßnahmen tatsächlich geeignet und angemessen sind, sie also genügend Schutz bieten, ohne die Arbeitsabläufe zu behindern oder die Schutzwirkung anderer Maßnahmen zu beeinträchtigen
- Streichung überflüssiger Maßnahmen
Ziel ist es, durch Streichung der überflüssigen und Konkretisierung der verbleibenden Maßnahmen den erforderlichen finanziellen und personellen Realisierungsaufwand auf das notwendige Maß zu begrenzen
- Ergebnisse
Das Ergebnis dieses Schritts ist eine auf die jeweilige Institution zugeschnittene und konkretisierte Liste von Maßnahmen
- Erleichtern Sie die spätere Nachvollziehbarkeit der Entscheidungen, die Sie bei dem Abgleich und der Anpassung der Maßnahmen getroffen haben, indem Sie die Begründungen dokumentieren
Beispiele
Fragen und Lösungen bei der Konsolidierung von Maßnahmen
Authentisierung
Wenn eine Risikoanalyse ergab, dass für eine Gruppe von IT-Systemen eine Authentisierung über ein Chipkarten- oder tokenbasiertes Verfahren angewandt werden sollte, können unter Umständen Maßnahmen zur Gewährleistung einer hohen Passwortgüte entfallen
Gebäudeplanung
- Fehler bei der Gebäudeplanung lassen sich nachträglich oft nur mit einem unverhältnismäßig hohen Aufwand korrigieren
- Wenn die vollständige Erfüllung von Anforderungen wie die Vermeidung wasserführender Leitungen aufgrund der baulichen Gegebenheiten wirtschaftlich nicht vertretbar ist, sollten zumindest Ersatzmaßnahmen getroffen werden
- Beispielsweise können unter den vorhandenen Leitungen wasserableitende Bleche installiert werden, die von einem Wassermelder mit einer im ständig besetzten Pförtnerraum hörbaren Alarmsirene überwacht werden
- Dadurch können Wasserschäden zumindest frühzeitig erkannt und in den Auswirkungen begrenzt werden
Zugangsschutz
- Maßnahmen zum Zugangsschutz versperren unter Umständen im Brandfall mögliche Fluchtwege
- Hier empfiehlt sich gegebenenfalls die Rücksprache mit Brandschutzexperten, der Feuerwehr, um sowohl dem Zugangs- als auch dem Brandschutz gleichermaßen gerecht zu werden
Verschlüsselung
- Verschlüsselung unternehmenskritischer Informationen
Die Verschlüsselung unternehmenskritischer Informationen zum Schutz ihrer Vertraulichkeit ist ein Beispiel für eine Maßnahme, die mit anderen Schutzzielen kollidieren kann, und bei der daher eine sorgfältige Abwägung der Vor- und Nachteile und unter Umständen ergänzende Maßnahmen nötig sind:
- Verschlüsselte E-Mails können den zentralen Virenschutz auf einem Server unterlaufen und so zur Infiltration eines Netzes mit Schadsoftware führen
- Bei unzureichendem Schlüssel-Management oder fehlerhafter Anwendung kann Verschlüsselung ferner die Verfügbarkeit wichtiger Daten auch für berechtigte Personen gefährden
Reihenfolge
- Umsetzungsreihenfolge und Verantwortlichkeit
Umsetzungsreihenfolge
Wenn Budget oder Personal nicht ausreichen, alle wünschenswerten Sicherheitsmaßnahmen unmittelbar umzusetzen, ist eine sinnvolle Reihenfolge festzulegen
- Dabei sollten Sie sich an folgenden Regeln orientieren
- Einen ersten Indikator zur Umsetzungsreihenfolge liefern die Kennzeichnungen R1, R2 und R3 bei den Modellierungshinweisen in Kapitel 2.2 des IT-Grundschutz-Kompendiums
- Anforderungen aus mit „R1“ gekennzeichneten Bausteinen (z. B. ISMS.1 Sicherheitsmanagement und die Bausteine der Schicht ORP Organisation und Personal) sollten vorrangig erfüllt werden
- Anschließend sind Anforderungen aus den mit „R2“ gekennzeichneten Bausteinen zu erfüllen und erst zum Schluss solche aus Bausteinen, die mit dem Kürzel „R3“ versehen sind
- Grundsätzlich sind ferner zunächst diejenigen Maßnahmen umzusetzen, mit denen Basis-Anforderungen erfüllt werden, dann diejenigen zur Erfüllung von Standard-Anforderungen und erst zuletzt die zur Gewährleistung eines höheren Schutzbedarfs
- Berücksichtigen Sie ferner auch die sachlogischen Zusammenhänge der einzelnen Maßnahmen: So sind diejenigen Maßnahmen vorzuziehen, deren Umsetzung eine Voraussetzung für die Realisierung weiterer Maßnahmen ist
Insbesondere sollten Sie Ihr Augenmerk darauf legen, welche Wirkung die Umsetzung der einzelnen Maßnahmen auf das Sicherheitsniveau des Informationsverbundes hat
- Setzen Sie vorrangig solche Maßnahmen um, die
- Komponenten mit höherem Schutzbedarf betreffen (sollten Server vor Clients abgesichert werden)
- eine große Breitenwirkung entfalten (z. B. zentrale Maßnahmen wie der Einsatz von Netz- und Systemmanagement-Werkzeugen) oder
- Bereiche betreffen, in denen auffallend viele Sicherheitsmaßnahmen fehlen
Dokumentieren Sie auch Ihre Entscheidungen zur Umsetzungsreihenfolge und deren Begründungen sorgfältig, damit nachvollziehbar und verständlich wird, warum Sie die aus der zeitlich nachgeordneten Umsetzung bestimmter Maßnahmen resultierenden Restrisiken in Kauf genommen haben
- Dies kann insbesondere bei eventuell möglichen juristischen Streitfällen als Nachweis wichtig sein, dass die notwendige Sorgfaltspflicht beachtet wurde
Verantwortlichkeit
Aufgaben und Verantwortlichkeiten
Maßnahmen werden meist nur dann fristgerecht umgesetzt, wenn geklärt wird, wer bis zu welchem Termin für deren Umsetzung zuständig ist
- Der nächste Schritt besteht daher darin, diejenigen Personen zu bestimmen, welche die Umsetzung initiieren und durchführen sollen
- Auch diese Entscheidungen sollten mit dem Management abgestimmt sein
Achten Sie darauf, dass die für die Umsetzung Zuständigen ausreichende Kenntnisse und Kompetenzen besitzen und ihnen die erforderlichen Ressourcen zur Verfügung gestellt werden
- Planen Sie erforderliche Fortbildungen ein
Umsetzungsplan
- Dokumentation
Auszug Realisierungsplan
- Zielobjekt: Printserver S003
- Maßnahmen, Entscheidungen, Termine, Kosten, Verantwortlichkeiten
- Umsetzungsplan
Anforderung | Maßnahme | Termin | Kosten | Umsetzung |
---|---|---|---|---|
SYS.1.1.A3 Restriktive Rechtevergabe |
Gruppenberechtigungen auflösen | 3. Quartal 2023 | Keine | IT-Betrieb Michael Schmitt |
SYS.1.1.A4 Rollentrennung |
Separate Benutzerkennungen für jeden Administrator | 31. Juli 2023 | Keine | IT-Betrieb Michael Schmitt |
SYS.1.1.A8 Regelmäßige Datensicherung |
Externes Backup-System Datensicherungen jetzt Bändern im Serverraum gelagert |
1. Quartal 2024 | Anschaffung: €15.000 Betrieb: verhandeln |
Einkauf Tanja Meyer |
Verbesserungsprozess
IT-Grundschutz Verbesserungsprozess - Aufrechterhaltung und Verbesserung
Beschreibung
Verfahren | Beschreibung |
---|---|
Informationssicherheitsprozess prüfen | |
Umsetzung prüfen | |
Sicherheitsrevision | |
Sicherheitszielen prüfen | Aktualität von Sicherheitszielen |
Übernahme der Ergebnisse | in den Informationssicherheitsprozess |
Informationsfluss | |
Zertifizierung | |
Effizienz und Effektivität der Vorkehrungen |
- Informationssicherheit prüfen
- Abarbeitung einfacher Checklisten
- Punktuelle Prüfung der Netzsicherheit mittels Penetrationstests
- Umfassenden Prüfung
- Angemessenheit und Wirksamkeit umgesetzter Schutzmaßnahmen (technisch und organisatorisch)
- Regelmäßige Intervalle
Grundsätzlich gilt, dass umfassende Prüfungen in regelmäßigen Intervallen (jährlich bis maximal drei Jahre) durchgeführt werden sollten.
- Sicherheitsvorfall
- Aber auch fallweise Prüfungen sind zweckmäßig, beispielsweise bei der Änderung von Geschäftsprozessen und insbesondere nach Sicherheitsvorfällen.
- Sicherheitsvorfälle
- sollten immer ein Anlass sein, die Sicherheitskonzeption zu hinterfragen
- Dies sollte offen und sorgfältig geschehen, um Schwachstellen, die einen Vorfall begünstigt haben, identifizieren und beseitigen zu können
- Zweckmäßige Verfahren
Zwei zweckmäßige Verfahren, mit den Sie Ihr Sicherheitskonzept und das erreichte Schutzniveau prüfen können, sind die -Revision und der Cyber-Sicherheits-Check:
- Mit einer Informationssicherheitsrevision (-Revision) können Sie nach einem festgelegten Verfahren und von kompetenten Revisoren überprüfen lassen, ob das Sicherheitskonzept Ihrer Institution wie beabsichtigt umgesetzt ist und es nach wie vor den aktuellen Anforderungen gerecht wird.
- Die -Revision liefert sowohl den Verantwortlichen für Informationssicherheit als auch der Leitung einer Institution belastbare Informationen über den aktuellen Zustand der Informationssicherheit.
- Kurz-, Querschnitts- und Partialrevision
- Neben einer umfassenden Prüfung, die auf die vollständige und vertiefte Überprüfung der Informationssicherheit in einer Institution abhebt, gibt es mit der Kurz-, Querschnitts- und Partialrevision Varianten, bei denen Tiefe und Umfang der Prüfung begrenzt sind.
- Cyber-Sicherheits-Check
Wenn Sie noch wenig Erfahrung mit diesem Thema haben, kann der Cyber-Sicherheits-Check eine wichtige Hilfe bei der Überprüfung des Sicherheitsniveaus Ihrer Institution sein.
- Er gibt ihnen Hinweise zur Anfälligkeit gegen Cyberangriffe und ist so angelegt, dass die regelmäßige Durchführung das Risiko verringert, zum Opfer solcher Angriffe zu werden.
- Vorgehensmodell IT-Revision
Für die Durchführung der IT-Revision hat das BSI ein eigenes Vorgehensmodell entwickelt, das im Leitfaden -Revision beschrieben ist.
- Dort erfahren Sie auch mehr zu Prüfumfang und -tiefe sowie Einsatzzweck der unterschiedlichen Varianten des Verfahrens.
Geschäftsprozess
- Name
- Prozess-Owner
- Trigger
Vorarbeiten
- Realisierungsplan enthält Maßnahmen des Sicherheitskonzepts
- Bis wann werden Maßnahmen von wem wie umgesetzt
- Erforderliche Ressourcen
- Zwischentermine
- Begleitende Maßnahmen
- Regelmäßige Kontrollen
- Sicherstellen, dass alles wie geplant umgesetzt ist und funktioniert
- Stetiger Prozess
Informationssicherheit ist kein einmalig herzustellender und anschließend stabiler Zustand, sondern ein stetiger Prozess, der immer wieder an sich wandelnde und neue Herausforderungen angepasst werden muss.
- Angemessenheit und Wirksamkeit der technischen und organisatorischen Maßnahmen für Informationssicherheit in Ihrer Institution kontinuierlich überwachen und verbessern
- Umsetzungsstand der im Sicherheitskonzept vorgesehenen Maßnahmen prüfen
- Vorgehen bei der Überprüfung der Wirksamkeit von Maßnahmen
- Erkenntnisse der Prüfungen in Maßnahmen zur Verbesserung Ihres Informationssicherheitsmanagements überführen
- Kennzahlen können bei der Bewertung einzelner Aspekte der Informationssicherheit helfen
- Reifegradmodell nutzen
- Sicherheitsniveau nachweisen (27001-Zertifikat auf Basis von IT-Grundschutz)
Leitfragen
- Leitfragen für die Überprüfung
Um sicherzustellen, dass die Maßnahmen des Sicherheitskonzepts immer den Anforderungen entsprechen, müssen sie kontinuierlich überprüft werden.
- Überprüfungen sollten sich an folgenden Leitfragen orientieren
Frage | Beschreibung |
---|---|
Welche Ziele der Informationssicherheit sind aktuell vordringlich? | Die Bedeutung von Sicherheitszielen kann sich im Zeitablauf verändern
|
Wer ist verantwortlich für die Überwachung des Informationssicherheitsprozesses? | Häufig ist die Institution so komplex, dass der nicht alle Überprüfungen leiten und durchführen kann.
|
Wie häufig sind die Verfahren zu überprüfen? | Für weniger wichtige Schutzmechanismen kann eine Überprüfung seltener erfolgen als für kritische Prozesse.
|
- Umsetzungshinweise
ISMS.1.M11: Aufrechterhaltung der Informationssicherheit
- Empfehlungen zur Vorgehensweise bei der Überprüfung des Sicherheitsprozesses
Informationssicherheitsprozess
- Überprüfung des Informationssicherheitsprozesses ist unabdingbar
- Fehler und Schwachstellen erkennen und abstellen
- Effizienz des IS-Prozesses optimieren
- Verbesserung der Praxistauglichkeit
- Strategie
- Maßnahmen
- Organisatorische Abläufe
Methoden zur Überprüfung
- Zur Effizienzprüfung und Verbesserung sollten Verfahren und Mechanismen eingerichtet werden
- Realisierung der beschlossenen Maßnahmen prüfen
- deren Wirksamkeit und Effizienz überprüfen
- Informationssicherheitsstrategie sollte Leitaussagen zur Messung der Zielerreichung machen
- Grundlagen für Messungen
- Detektion, Dokumentation und Auswertung von Sicherheitsvorfällen
- Durchführung von Übungen und Tests zur Simulation von Sicherheitsvorfällen
- Auswertung der Ergebnisse
- interne und externe Audits, Datenschutzkontrollen
- Zertifizierung nach festgelegten Sicherheitskriterien
- Internen Audits zur Erfolgskontrolle der umgesetzten Maßnahmen
- nicht durch denjenigen durchführen, der die Sicherheitskonzeption entwickelt hat
- Externe Experten mit der Durchführung solcher Prüfungsaktivitäten beauftragen
Aufwand von Audits
- hängt von der Komplexität und Größe des Informationsverbunds ab
- Anforderungen auch für kleine Institutionen geeignet
- Kleinen Einrichtungen
In kleinen Institutionen eventuell ausreichend
- Jährlicher technischer Check von IT-Systemen
- Vorhandene Dokumentationen auf Aktualität prüfen
- Probleme und Erfahrungen mit dem Sicherheitskonzept in Workshop besprechen
Überprüfung der Umsetzung
- Realisierungsplan prüfen
- Aufgabenliste und zeitliche Planung
- Ob und inwieweit dieser eingehalten wurde
- Angemessene Ressourcenplanung
- Voraussetzung für die Einhaltung geplanter Sicherheitsmaßnahmen
- Wurden ausreichende finanzielle und personelle Ressourcen zur Verfügung gestellt?
- Die Überprüfung dient auch
- Rechtzeitiger Wahrnehmung von Planungsfehlern
- Anpassung der Sicherheitsstrategie, wenn sich diese als unrealistisch erweist
- Benutzer-Akzeptanz
- Nach Einführung neuer Sicherheitsmaßnahmen
Akzeptanz bei Nutzern prüfen
- Werden neuen Maßnahmen nicht akzeptiert, ist ein Misserfolg vorprogrammiert
- Ursachen herauszuarbeiten und abstellen
- Oft reicht eine zusätzliche Aufklärung der Betroffenen
- Alternativen prüfen
Sicherheitsrevision
- Revision der Informationssicherheit anhand der IT-Grundschutz-Sicherheitsmaßnahmen
- Gleiche Vorgehensweise wie beim Basis-Sicherheitscheck
- Arbeitsökonomisch
- Angepasste Checkliste erstellen
- für jeden Baustein der IT-Grundschutz-Kataloge
- anhand der Maßnahmentexte
- erleichtert die Revision
- verbessert die Reproduzierbarkeit der Ergebnisse
Aktualität von Sicherheitszielen
Rahmenbedingungen und Sicherheitskonzeption
- In längeren Perspektiven prüfen
- gesetzte Sicherheitsziele
- Rahmenbedingungen
- Anpassung der Sicherheitsleitlinie und der Sicherheitsstrategie
- in schnelllebigen Branchen von elementarer Bedeutung
- Betriebliche Änderungen schon bei ihrer Planungsphase in die Sicherheitskonzeption einbeziehen
- Einsatz neuer IT-Systeme
- Umzug
- organisatorische Änderungen (z. B. Outsourcing)
- Änderungen gesetzlicher Anforderungen
- Nach jeder relevanten Änderung aktualisieren
- Sicherheitskonzeption
- dazugehörigen Dokumentation
- Im Änderungsprozess der Institution berücksichtigen
- Informationssicherheitsprozess in das Änderungsmanagement der Institution integrieren
Wirtschaftlichkeitsbetrachtung
- Wirtschaftlichkeit sollte unter konstanter Beobachtung bleiben
- Sicherheitsstrategie
- spezifische Sicherheitsmaßnahmen
- Kosten für Informationssicherheit sind schwer zu ermitteln
- oft hilfreich, für die weitere Planung: Prüfen, ob
- tatsächlich angefallene Kosten den geplanten entsprechen
- ressourcenschonendere Sicherheitsmaßnahmen eingesetzt werden können
- Nutzen herausarbeiten
Ebenso wichtig: Regelmäßig den Nutzen der vorhandenen Sicherheitsmaßnahmen herausarbeiten
Rückmeldungen
- Rückmeldungen von Internen und Externen
Rückmeldungen über Fehler und Schwachstellen in den Prozessen
- Informationssicherheitsorganisation
- Revision
auch von
- Mitarbeitern
- Geschäftspartnern
- Kunden oder Partnern
Wirksame Vorgehensweise festlegen
- Beschwerden und anderen Rückmeldungen von Internen und Externen verwerten
Beschwerden
- von Kunden oder Mitarbeitern können dabei ein Indikator für Unzufriedenheit sein
- Bereits entstehender Unzufriedenheit entgegenwirken!
- bei unzufriedenen Mitarbeitern/Kunden
- Gefahr von Handlungen die den Betrieb stören können
- fahrlässig
- vorsätzlich
- Rückmeldungen von Internen und Externen
- Umgang mit Beschwerden
- klar definiertes Verfahren
- eindeutig festgelegte Kompetenzen
- für den Umgang mit Beschwerden und für die Rückmeldung von Problemen an die zuständige Instanz
- Beschwerden schnellstmöglich beantworten
- damit die Hinweisgeber sich ernst genommen fühlen
- Gemeldeten Probleme bewerten
- Handlungsbedarf eingeschätzten
- angemessene Korrekturmaßnahmen zur Beseitigung der Ursachen von Fehlern ergreifen
- erneutes Auftreten verhindern
Informationsfluss
Informationsfluss im Informationssicherheitsprozess
- Im Rahmen der Überprüfung und Verbesserung entstehen
- Berichte
- Audit-Reports
- Ergebnisse von Sicherheitstests
- Meldungen über sicherheitsrelevante Ereignisse
- weitere Dokumente zur Informationssicherheit
Dokumente müssen
- aussagekräftig
- für die jeweilige Zielgruppe verständlich sein
Nicht alle Informationen sind für die Leitungsebene geeignet
- es ist eine Aufgabe des IT-Sicherheitsmanagements, diese Informationen
- zu sammeln
- zu verarbeiten
- kurz und übersichtlich aufzubereiten
Berichte
- Berichte an die Leitungsebene
- Leitung benötigt Eckpunkte über den Stand der Informationssicherheit
- richtige Entscheidungen bei der Steuerung und Lenkung des Informationssicherheitsprozesses Eckpunkte in Management-Berichten aufbereiten
- Ergebnisse von Audits und Datenschutzkontrollen
- Berichte über Sicherheitsvorfall* Berichte über bisherige Erfolge und Probleme beim Informationssicherheitsprozess IS-Organisation informiert Leitungsebene regelmäßig in angemessener Form
- Ergebnisse der Überprüfungen
- Status des IS-Prozesses
- Probleme
- Erfolge
- Verbesserungsmöglichkeiten
- Leitungsebene nimmt Management-Berichte zur Kenntnis und veranlasst notwendige Maßnahmen
- Berichte an die Leitungsebene
Dokumentation
Dokumentation im Informationssicherheitsprozess
- Entscheidend für Erfolg
Dokumentation des IS-Prozesses auf allen Ebenen
- Nur durch ausreichende Dokumentation
- werden getroffene Entscheidungen nachvollziehbar
- sind Prozesse wiederholbar und standardisierbar
- können Schwächen und Fehler erkannt und zukünftig vermieden werden
- Abhängig vom Gegenstand und vom Verwendungszweck der Dokumentation
- Technische Dokumentation und Dokumentation von Arbeitsabläufen
- Anleitungen für Mitarbeiter
- Aufzeichnung von Management-Entscheidungen
- Gesetze und Regelungen
- Technische Dokumentation Arbeitsabläufen
- Zielgruppe
- Experten
- Aktuellen Stand beschreiben
- Geschäftsprozessen
- damit verbundener IT-Systeme und Anwendungen
- Detaillierungsgrad technischer Dokumentationen
- andere Personen mit vergleichbarer Expertise sollen die Dokumentation nachvollziehen können
- Ein Administrator soll zwar auf sein Wissen, aber nicht auf sein Gedächtnis angewiesen sein, um die Systeme und Anwendungen wiederherzustellen
- Dazu gehörten z.B.
- Installations- und Konfigurationsanleitungen
- Anleitungen für den Wiederanlauf nach einem Sicherheitsvorfall
- Dokumentation von Test- und Freigabeverfahren
- Anweisungen für das Verhalten bei Störungen und Sicherheitsvorfällen
- Bei Sicherheitsübungen und bei Behandlung von Sicherheitsvorfällen
- Qualität der vorhandenen Dokumentationen bewerten
- gewonnene Erkenntnisse zur Verbesserung nutzen
- Anleitungen für Mitarbeiter
Zielgruppe: Mitarbeiter
- Sicherheitsmaßnahmen in Form von Richtlinien dokumentieren
- für die Mitarbeiter verständlich
Mitarbeiter müssen informiert und geschult sein
- Existenz und Bedeutung dieser Richtlinien
- Dazu gehört
- Arbeitsabläufe und organisatorische Vorgaben
- Richtlinien zur Nutzung des Internets
- Verhalten bei Sicherheitsvorfällen
- Entscheidungen aufzeichnen
- Informationssicherheitsprozess
- Sicherheitsstrategie
- jederzeit verfügbar
- nachvollziehbar
- wiederholbar
- Gesetze und Regelungen
Zielgruppe: Leitungsebene
- Für Informationsverarbeitung sind viele unterschiedliche relevant
- Gesetze
- Regelungen
- Anweisungen
- Verträge
- Besondere Anforderungen sollten dokumentiert werden
- welche konkreten Konsequenzen ergeben sich daraus
- Geschäftsprozesse
- IT-Betrieb
- Informationssicherheit
- Aktuellen Stand der Dokumentationen sicherstellen
- Dafür muss die Dokumentation in den Änderungsprozess einbezogen werden
Informationsfluss und Meldewege
- Richtlinie zum Informationsfluss und Meldewegen
Grundsätzliche Festlegungen
- Hol- und Bringschuld
- Kommunikationsplan
- Wer? Wem? Was? Wann? Bis wann? Form? Feedback bis?
- von der Leitungsebene verabschieden lassen
- Aktualisierung der Meldewege
- Festlegungen für den Informationsfluss
- Zeitnahe Aktualisierung von elementarer Bedeutung für die Aufrechterhaltung des Informationssicherheitsprozesses Verbesserung des Informationsflusses
- Ergebnisse aus Übungen, Tests und Audits sind nützliche Grundlage für die Verbesserung des Informationsflusses
- Synergieeffekten für den Informationsfluss
- Oft sind bereits Prozesse für den IT-Support definiert Synergieeffekte nutzen
Meldewege für IT-Sicherheitsvorfälle können in den IT-Support integriert werden
- Kapazitätsplanung um Aspekte der Notfallvorsorge erweitert werden
- Viele Informationen, die aus Sicherheitsgründen erhoben werden, können auch zu anderen Zwecken genutzt werden Sicherheitsmaßnahmen haben positive Nebeneffekte
- besonders Optimierung von Prozessen ist für viele Bereiche relevant
- Bestimmung von Informationseigentümern
- Einstufung von Informationen nach einheitlichen Bewertungskriterien Überblick über die Abhängigkeit
- der Geschäftsprozesse von IT-Systemen und Anwendungen
- ist nicht nur für das Sicherheitsmanagement sinnvoll
- exakte Zuordnung von IT-Kosten, auf einzelne Geschäftsprozesse
IT-Grundschutz-Zertifizierung
Zertifizierung
IT-Grundschutz/Zertifizierung - ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz
Beschreibung
- ISO/IEC 27001-Zertifikat auf Basis von IT-Grundschutz
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) brachte mit dem IT-Grundschutz 2006 ein Konzept für die Umsetzung eines Informationssicherheitsmanagementsystems (ISMS) heraus.
- Der IT-Grundschutz bietet mit seinen drei Standards 200-1, 200-2 und 200-3 in Kombination mit den IT-Grundschutzkatalogen (bis 2006 IT-Grundschutzhandbuch genannt) Hilfestellungen bei der Einführung und Aufrechterhaltung eines ISMS.
- Seit 2006 sind die IT-Grundschutz-Kataloge an die internationale Norm ISO/IEC 27001 angepasst.
- Dieses System gilt als Quasi-Standard in deutschen Behörden.
- Fokussierte Grundwerte
ISO 27001-Zertifizierungen auf der Basis von IT-Grundschutz ermöglichen Behörden und Unternehmen, ihre Bemühungen um Informationssicherheit und die erfolgreiche Umsetzung internationaler Normen unter Anwendung der IT-Grundschutz-Methodik nach innen und außen zu dokumentieren.
IT-Grundschutz-Zertifizierung
- Allgemein anerkannte Zertifikate setzen Maßstäbe und schaffen Vertrauen
- Auch im Bereich der Informationssicherheit sind verlässliche Standards wünschenswert, die den Anwendern Orientierung zur Sicherheit von Produkten, Systemen und Verfahren bieten.
- Daher gibt es bereits seit vielen Jahren international anerkannte Kriterienwerke, auf deren Grundlage die Sicherheitseigenschaften von Produkten und Systemen durch unabhängige Zertifizierungsstellen bestätigt werden können.
Das 27001-Zertifikat auf Basis von -Grundschutz belegt in besonderer Weise das Bemühen um Informationssicherheit, da Grundlage für die Vergabe nicht nur die Erfüllung der allgemeinen Anforderungen der Norm 27001 an das Sicherheitsmanagement ist, sondern auch die nachgewiesene Umsetzung der wesentlich konkreteren Anforderungen des -Grundschutzes.
Die Zertifizierung des Managements für Informationssicherheit kann für unterschiedliche Zielgruppen interessant sein, zum Beispiel für
- Anbieter im E-Commerce oder E-Government, die verdeutlichen wollen, dass sie sorgfältig und sicherheitsbewusst mit den Daten der Kunden und Bürger umgehen,
- IT-Dienstleister, die mit einem allgemein anerkannten Maßstab die Sicherheit ihrer Dienstleistungen belegen wollen,
- Unternehmen und Behörden, die mit anderen Einrichtungen kooperieren wollen und Informationen über deren Sicherheitsniveau wünschen.
- Ein Zertifizierungsverfahren wirkt auch nach innen
- Trägt dazu bei, das Bewusstsein der Mitarbeiter für die Notwendigkeit von Informationssicherheit zu stärken
- Erleichtert dadurch die Umsetzung erforderlicher Sicherheitsmaßnahmen.
Zertifizierung nach ISO 27001 auf Basis von IT-Grundschutz
- Zertifizierung ist eine weitere Methode zur Prüfung
- Erreichung der Sicherheitsziele
- die Umsetzung der Sicherheitsmaßnahmen
- Hierbei begutachten qualifizierte unabhängige Stellen
- das Management von Informationssicherheit
- die Umsetzung von Informationssicherheit
- Zertifizierung nach ISO 27001 auf Basis von IT-Grundschutz liefert Auditergebnis
- Nachvollziehbar
- Wiederholbar
- Vergleichbar
- Dokumentation
- ISO 27001 als auch IT-Grundschutz in der erforderlichen Tiefe umgesetzt
- Eignung der Informationssicherheitsstrategie
- Um den Informationssicherheitsprozess erfolgreich steuern und lenken zu können,
- muss die Leitungsebene einen Überblick darüber haben,
- inwieweit die Sicherheitsziele mithilfe der
- eingesetzten Sicherheitsstrategie tatsächlich erreicht werden konnten.
Zertifizierungsprozess
Voraussetzung für die Vergabe eines ISO 27001-Zertifikats auf Basis von -Grundschutz ist der Nachweis, dass ein den Anforderungen der Norm entsprechendes Informationssicherheitsmanagement eingerichtet ist und die -Grundschutz-Anforderungen wirksam erfüllt sind.
- Gegenstand der Zertifizierung muss dabei nicht die gesamte Institution sein.
- Der betrachtete Informationsverbund kann sich auch auf einzelne Geschäftsprozesse, Fachaufgaben oder Organisationseinheiten beschränken.
- Diese müssen jedoch sinnvoll abgegrenzt sein und eine gewisse Mindestgröße haben.
Die folgende Abbildung veranschaulicht den Zertifizierungsprozess:
[Image:Abb_9_05_Zertifizierungsprozess.png?__blob=normal&v=1Bild5.png|top|alt="ISO 27001-Zerifizierung auf Basis von IT-Grundschutz - Zertifizierungsprozess"]]
Für den Nachweis, dass die Anforderungen erfüllt sind, ist ein Audit durch einen unabhängigen, vom anerkannten Auditor erforderlich.
- Jedes Audit setzt sich grundsätzlich aus zwei getrennten, aufeinander aufbauenden Phasen zusammen:
- Phase 1 umfasst eine Dokumentenprüfung der so genannten Referenzdokumente des Antragstellers.
- Dazu zählen neben den geltenden Sicherheitsrichtlinien (Leitlinie zur Informationssicherheit, Richtlinien zur Risikoanalyse, Richtlinie zur internen -Auditierung) und dem Risikobehandlungsplan insbesondere auch die Ergebnisdokumente der verschiedenen Phasen der Sicherheitskonzeption (Strukturanalyse, Schutzbedarfsfeststellung, Modellierung, -Grundschutz-Check, Risikoanalyse, Realisierungsplanung).
- In Phase 2 folgt die Umsetzungsprüfung durch den Auditor, bei der die Vollständigkeit, Korrektheit, und Wirksamkeit der in den Referenzdokumenten beschriebenen Maßnahmen sowie deren Konformität zu den Anforderungen von 27001 und -Grundschutz im Fokus stehen.
Ein Zertifikat wird nur erteilt, wenn der Auditbericht ein positives Gesamtvotum aufweist und durch die Zertifizierungsstelle akzeptiert wurde.
- Im Rahmen einer Prüfbegleitung wird der Auditbericht gegen die Vorgaben des vom veröffentlichen Zertifizierungsschemas geprüft.
Ein erteiltes Zertifikat ist drei Jahre lang gültig und muss in diesem Zeitraum durch ein jährliches Überwachungsaudit bestätigt werden.
Das der 27001-Zertifizierung auf Basis von -Grundschutz zugrunde liegende Zertifizierungsschema, Hinweise zu den erforderlichen Referenzdokumenten und alle weiteren wichtigen Informationen zum Thema finden Sie in einem eigenen Unterthema gebündelt auf der Website des .
Vorgehensweise und Voraussetzungen
- beteiligten Parteien
- Verantwortlichkeiten
- Aufgaben
- Aktivitäten
- Zusammenwirken
Rechtliche Grundlage
- Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz – BSIG, BSIG)
- Zertifizierungsverordnung zum BSI-Gesetz ZVO
- Die für ISO 27001-Zertifizierungsverfahren auf der Basis von IT-Grundschutz relevanten Kriterienwerke sind
- ISO/IEC 27001 "Information technology - Security techniques - Information security management systems – Requirements", die BSI-Standards 200-2 „IT-Grundschutz-Methodik“ [2002]
- BSI-Standard 200-3 „Risikoanalyse auf Basis von IT-Grundschutz“ [2003] sowie das ITGrundschutz-Kompendium des BSI.
- Weitere Grundlage der Zertifizierung
- Normen ISO/IEC 27006 „Information technology Security techniques - Requirements for bodies providing audit and certification of information security management systems“
- DIN EN ISO/IEC 17021 "Konformitätsbewertung - Anforderungen an Stellen, die Managementsysteme auditieren und zertifizieren"
- welche Anleitungen und Anforderungen für den Ablauf und die Durchführung von Audits und Zertifizierungsverfahren enthalten.
- ISO 27001-Auditoren auf der Basis von IT-Grundschutz
- die ein unabhängiges Audit durchführen
- um die Konformität eines Managementsystems für Informationssicherheit gemäß ISO 27001 auf der Basis von IT-Grundschutz in einer Einrichtung oder Institution zu bestätigen.
Insbesondere können sich Einrichtungen und Institutionen und deren IT-Sicherheitsverantwortliche sowie Auditoren einen Überblick über die grundsätzlichen Anforderungen an eine ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz verschaffen und über die Vorgehensweise einer ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz informieren.
Begriffe und Definitionen
Option | Beschreibung |
---|---|
Informationsverbund | stellt nicht nur den Verbund der betrachteten IT-Systeme dar, sondern umfasst auch das damit verbundene Informationssicherheits-Managementsystem (ab hier ISMS abgekürzt). Der Informationsverbund ist der Geltungsbereich der Zertifizierung (sog. Untersuchungsgegenstand). |
Audit | können von einem oder mehreren Auditoren durchgeführt werden, die vom Bundesamt für Sicherheit in der Informationstechnik zertifiziert 1 sind. Der für die Durchführung eines Audits verantwortliche Auditor wird in diesem Dokument Auditteamleiter genannt. |
Auditteam | können auch Fachexperten angehören, die spezielle Branchenkenntnisse oder solide Kenntnisse und Erfahrungen hinsichtlich der im Informationsverbund eingesetzten Informations- und Kommunikationstechnik besitzen. Die Rollen der beteiligten Parteien im Zertifizierungsaudit sind in Kap. 2.2 näher ausgeführt. |
Zertifizierungsprozess
Die IT-Grundschutz-Vorgehensweisen Standard- und Kern-Absicherung stellen zusammen mit dem IT-Grundschutz/Kompendium und dessen Empfehlungen von Standard-Sicherheitsmaßnahmen inzwischen einen De-Facto-Standard für Informationssicherheit dar.
- Voraussetzung
Voraussetzung für die Vergabe eines ISO 27001-Zertifikats auf der Basis von IT-Grundschutz ist eine Überprüfung des Untersuchungsgegenstandes durch einen vom BSI zertifizierten Auditor für ISO 27001-Audits auf der Basis von IT-Grundschutz.
- Im Rahmen des Audits werden von der Institution erstellte Referenzdokumente gesichtet, eine Vor-Ort-Prüfung durchgeführt und ein Auditbericht erstellt.
- Für die Vergabe eines ISO 27001-Zertifikats auf der Basis von IT-Grundschutz wird dieser Auditbericht von der Zertifizierungsstelle im BSI geprüft.
- Während der Gültigkeit des daraufhin ausgestellten Zertifikats werden jährlich Überwachungsaudits durchgeführt.
Rollen und Zuständigkeiten
- In das Zertifizierungsverfahren für die ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz sind die folgenden drei Rollen involviert
- Antragsteller,
- Auditor bzw. Auditteamleiter als befugter Vertreter des Auditteams
- Zertifizierungsstelle
- Folgende Abbildung zeigt schematisch die den Rollen zugeordneten Aufgaben und das Zusammenwirken der Rollen im Zertifizierungsverfahren
- Abbildung 1: Rollen im Zertifizierungsverfahren
- Zertifizierungsantrag
Hat eine Institution ein ISMS nach ISO 27001 auf Basis der IT-Grundschutz-Methodik umgesetzt und liegen alle erforderlichen Nachweise der Umsetzung (sog. Referenzdokumente [REFDOK]) vor, kann Zertifizierungsschema für ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz die Institution ein Zertifizierungsverfahren für eine ISO 27001-Zertifizierung auf der Basis von ITGrundschutz bei der Zertifizierungsstelle initiieren und einen Zertifizierungsantrag stellen.
- Die Institution beauftragt ein Auditteam, auf Grundlage des vorliegenden Zertifizierungsschemas und des zugehörigen Auditierungsschemas für ISO 27001-Audits auf der Basis von IT-Grundschutz den Informationsverbund, sein ISMS und seine Sicherheitsstruktur zu überprüfen.
- Der Antragsteller ist Initiator des Zertifizierungsverfahrens und unterstützt das Auditteam bei der Sichtung der Referenzdokumente und der Vor-Ort-Prüfung des Informationsverbundes.
- Das Auditteam dokumentiert seine Prüfergebnisse in einem Auditbericht, der zusammen mit dem Zertifizierungsantrag der Zertifizierungsstelle als Grundlage für ein ISO 27001-Zertifikat auf der Basis von IT-Grundschutz dient.
- Auditoren dürfen nur Themengebiete prüfen, für die sie das notwendige Fachwissen und ausreichend Erfahrung mitbringen.
- Falls weder der Auditteamleiter noch die anderen Auditoren des Teams über das nötige Spezialwissen verfügen, muss der Auditteamleiter zur Unterstützung der Prüftätigkeiten und zur Absicherung der Prüfaussagen einen oder mehrere Fachexperten hinzuziehen.
- Zwei oder mehr Auditoren können sich zu einem Auditteam zusammenschließen, um ein gemeinsames Audit durchzuführen.
- In einem solchen Fall wird ein Auditteamleiter (Auditverantwortlicher) bestimmt.
- Die Rollen und Zuständigkeiten der Teammitglieder sind zu Beginn des Zertifizierungsverfahrens festzulegen.
- Ein Auditteam kann darüber hinaus noch Fachexperten zur Unterstützung hinzuziehen.
- Fachexperten müssen ebenso wie die Auditoren Fachwissen sowie Erfahrung im Bereich Informationssicherheit besitzen und sind Teil des Auditteams.
- Jedes Mitglied des Auditteams muss vor Beginn des Verfahrens, d. h. mit dem Zertifizierungsantrag, sowie vor einem Überwachungsaudit eine Unabhängigkeitserklärung bei der Zertifizierungsstelle einreichen.
- Die Zertifizierungsstelle des BSI muss dem Einsatz des Auditors bzw. des Auditteams zustimmen.
- Alle Mitglieder des Auditteams müssen im Auditbericht aufgeführt sein.
- Ansprechpartner
Ansprechpartner der Zertifizierungsstelle ist der Auditteamleiter
- Dieser sendet den Auditbericht verschlüsselt an die Zertifizierungsstelle des BSI und ergänzt Nachforderungen.
- Je nach Vertragsinhalt kann der Auditor dem Antragsteller den Auditbericht jederzeit zur Verfügung stellen.
- Hilfskräfte
Hilfskräfte für reine Verwaltungstätigkeiten, beispielsweise Schreibkräfte, können eingesetzt werden, wenn diese vom Auditteamleiter entsprechend überwacht und kontrolliert werden.
- Für Hilfskräfte gelten keine einschränkenden Bedingungen; sie müssen auch nicht im Auditbericht genannt werden.
- Die Verantwortung für die Prüftätigkeiten verbleibt in jedem Fall beim Auditteamleiter.
- Die Zertifizierungsstelle des BSI übernimmt die Rolle einer unabhängigen dritten Instanz, die die Gleichwertigkeit der Prüfungen und der Auditberichte gewährleistet.
- Sie veröffentlicht die Schemata und Interpretationen zum Zertifizierungsverfahren.
- Die Zertifizierungsstelle prüft den Zertifizierungsantrag des Antragstellers und den eingereichten Auditbericht des Auditteams auf Grundlage des vorliegenden Zertifizierungsschemas und des zugehörigen Auditierungsschemas für ISO 27001-Audits auf der Basis von IT-Grundschutz.
- Bei positivem Prüfergebnis erteilt die Zertifizierungsstelle für den Informationsverbund des Antragstellers ein ISO 27001-Zertifikat auf der Basis von IT-Grundschutz.
- Antragsteller und Auditteamleiter sollten bei der Planung von Zertifizierungsverfahren darauf achten, dass genügend Zeit und Ressourcen (Budget, Personal, ...) für Kommentierungszyklen von Auditberichten und eventuelle Nachbesserungen bzw. Nachforderungen eingeplant werden.
Zertifizierungsantrag
- Zur Initiierung des Zertifizierungsverfahrens ist vom Antragsteller ein Antrag auf eine ISO 27001Zertifizierung auf der Basis von IT-Grundschutz bei der Zertifizierungsstelle des BSI zu stellen.
- Anforderungen
- Der Zertifizierungsstelle des BSI muss der vollständige Zertifizierungsantrag mindestens 1 Monat vor Beginn des Audits (d. h. vor Beginn der Sichtung der Referenzdokumente) vorliegen.
- In Einzelfällen kann die Prüfung länger dauern, sodass evtl. Audittermine angepasst werden müssen.
- Der Zertifizierungsantrag enthält Angaben zum Antragsteller und verschiedene weitere Informationen zum Untersuchungsgegenstand (d. h. zum zu zertifizierenden Informationsverbund) sowie zur Auditierungstätigkeit.
- Insbesondere müssen die im Folgenden genannten Angaben vollständig sein:
- Der zu zertifizierende Untersuchungsgegenstand ist zu beschreiben.
- Ferner ist ein kurzes Behörden- bzw. Firmenprofil zu geben, aus dem u. a. die wesentlichen Tätigkeitsfelder der Institution sowie die Größe und Bedeutung des Untersuchungsgegenstandes für die Institution deutlich werden.
- Bei einer Re-Zertifizierung sind die Änderungen im Informationsverbund im Vergleich zum Informationsverbund der Erst-Zertifizierung anzugeben und kurz zu beschreiben.
- Bei der Verwendung überarbeiteter oder neuer Bausteine sind diese im Antrag mit anzugeben und zu beschreiben.
- Dabei werden nur große / gravierende Änderungen aufgeführt.
◦ Im Zertifizierungsantrag sind Angaben zur Abgabe des Auditberichts an die Zertifizierungsstelle des BSI zu machen.
- Der Zeitplan ist mit der Zertifizierungsstelle des BSI abzustimmen.
- Terminänderungen sind dem BSI rechtzeitig schriftlich mitzuteilen.
◦ Teil des Zertifizierungsantrags ist die Unabhängigkeitserklärung der Auditteammitglieder (s. nächstes Kapitel). Formulare zur Antragstellung sowie für die Unabhängigkeitserklärung sind auf den Webseiten des BSI zu finden.
- Als Prüfungsgrundlage für Auditierungen im Rahmen der ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz müssen die in „Prüfgrundlage für Zertifizierungen nach ISO 27001 auf der Basis von IT-Grundschutz“ [PRÜFGR] aufgeführten Dokumente in der dort genannten Version verwendet werden.
- Der Zertifizierungsantrag muss im Original in Papierform oder als absenderbestätigte De-Mail dem BSI zugestellt werden.
Die Zertifizierungsstelle prüft den eingereichten Zertifizierungsantrag auf Vollständigkeit, Konsistenz und Erfüllung der o.g. Anforderungen.
- Ferner wird im Rahmen der Antragsprüfung die prinzipielle Zertifizierbarkeit des Untersuchungsgegenstandes, also die sinnvolle Abgrenzung des Informationsverbunds geprüft und wenn nötig abgestimmt.
- Bei positiver Prüfung des Zertifizierungsantrags wird das Zertifizierungsverfahren in Reihenfolge der vollständig eingegangenen Anträge offiziell eröffnet und eine Zertifizierungskennung vergeben.
- Die Verfahrenseröffnung und die Zertifizierungskennung werden dem Antragsteller schriftlich und dem Auditteamleiter per E-Mail bzw. telefonisch mitgeteilt und wenn gewünscht auf der BSI-Webseite veröffentlicht.
- Mit der Sichtung der Referenzdokumente darf nicht vor Verfahrenseröffnung begonnen werden, d.h. das Audit darf erst nach Mitteilung der Zertifizierungskennung beginnen.
Unabhängigkeitserklärung
Jedes Mitglied des Auditteams (Auditteamleiter, Auditoren, Fachexperten) muss der Zertifizierungsstelle des BSI gegenüber eine Unabhängigkeitserklärung mit Begründung abgeben.
- Interessenskonflikte
Wenn ein Mitglied des Auditteams (Auditteamleiter, Auditor, Fachexperten) oder die Firma, für die der Betreffende tätig ist, in Beziehung zu der zu auditierenden Institution oder Teilen davon bzw. zu beratenden Institutionen oder Personen steht, die einen Interessenskonflikt hervorrufen kann, ist diese Unabhängigkeit in der Regel nicht mehr gegeben.
- Eine solche Gefährdung kann z. B. bei folgenden Konstellationen auftreten, wobei ein Zeitraum von drei Jahren betrachtet wird
- Beratung der Institution durch den Auditor selbst oder einen Kollegen / Vorgesetzten /
Mitarbeiter des Auditors
- andere geschäftliche Verbindungen des Auditors oder des Arbeitgebers des Auditors und der auditierten Institution
- Verwandtschaftsverhältnis des Auditors mit Mitgliedern / verantwortlichen Personen der auditierten Institution oder eines Beraters • Geschäftsanbahnung (z. B. nicht erfolgreiche Bewerbung um eine Beratung)
- Rein auditierende Tätigkeiten sind hiervon explizit ausgenommen
Diese Unabhängigkeitserklärung muss der Zertifizierungsstelle des BSI bei einer Erst- oder ReZertifizierung mindestens 1 Monat vor Beginn der Auditierungstätigkeit vorliegen.
- Die Unabhängigkeitserklärung muss im Original in Papierform vom Antragsteller mit dem Zertifizierungsantrag eingereicht werden.
- Alternativ kann die Unabhängkeitserklärung auch direkt vom Auditor im Original in Papierform oder per absenderbestätigter De-Mail eingereicht werden.Solange der Nachweis nicht vorliegt oder ungenügend ist, kann dieses Mitglied des Auditteams für das beantragte Verfahren nicht eingesetzt werden.
- Nachmeldungen von Auditteammitgliedern müssen der Zertifizierungsstelle formlos, gerne per E-Mail, mitgeteilt werden.
- Die Zertifizierungsstelle des BSI behält sich vor, zusätzliche Informationen zum Verhältnis zwischen Auditor und Antragsteller bzw. beratender Institution einzufordern.
- Sieht sie die Unabhängigkeit von Mitgliedern des Auditteams nicht gewährleistet, widerspricht sie der Teilnahme dieser Auditteammitglieder am Audit.
- Mit Vergabe der Zertifizierungskennung wird das im Antrag aufgeführte Auditteam akzeptiert.
- Stellt das Auditteam z. B. bei der Vorbereitung auf die Phase 2 des Audits (Vor-Ort-Prüfung) fest, dass weitere Auditteammitglieder benötigt werden, so müssen diese Unabhängigkeitserklärungen nachreichen2. Das neue Auditteammitglied darf erst eingesetzt werden, nachdem dessen Unabhängigkeit durch das BSI bestätigt wurde.
- Dies geschieht in der Regel durch eine E-Mail vom BSI an den Auditteamleiter mit Kopie an Antragsteller und das neue Auditteammitglied.
- Für Überwachungsaudits ist ebenfalls eine (erneute) Unabhängigkeitserklärung für jedes Mitglied des Auditteams einzureichen.
- Diese Unabhängigkeitserklärung muss der Zertifizierungsstelle mindestens 1 Monat vor Beginn der Auditierungstätigkeit vorliegen.
- Die Bestätigung der Unabhängigkeit erfolgt in der Regel durch E-Mail vom BSI an den Auditteamleiter mit Kopie an den Antragsteller und alle anderen Auditteammitglieder.
Formulare zur Antragstellung sowie für die Unabhängigkeitserklärung sind auf den Webseiten des BSI zu finden.
Auswahl des Auditteams
- Für die Auditierung des Informationsverbundes der Institution beauftragt diese ein Auditteam damit, in einer unabhängigen Prüfung den Status der Informationssicherheit im Informationsverbund zu prüfen und zu verifizieren.
- Mindestens der Auditteamleiter und die Auditoren müssen eine gültige BSI2-Zertifizierung (s. [ZERTAUD]) besitzen.
- Die Unabhängigkeitserklärung ist unverzüglich der Zertifizierungsstelle des BSI einzureichen.
- Eine Frist von 1 Monat vor Auditweiterführung ist nicht einzuhalten.
- Zertifizierte Auditoren
- Kontaktadressen der zertifizierten Auditoren finden sich im Internet auf den Webseiten des BSI.
Das Auditteam wird von der antragstellenden Institution beauftragt und der Zertifizierungsstelle des BSI im Zertifizierungsantrag bekannt gegeben.
- Bei der Auswahl des Auditteams müssen Besonderheiten im Aufbau und in den Prozessen und Gegebenheiten der beauftragenden Institution berücksichtigt werden.
- Die Mitglieder des Auditteams müssen die Fachkenntnisse besitzen, die sie zur Auditierung der Institution benötigen.
- Da der Auditteamleiter durch sein positives oder negatives Votum für das Ergebnis des Zertifizierungsaudits verantwortlich ist, muss er die Auditteammitglieder nach Qualifikation und Erfahrung auswählen und einsetzen.
Die Mitglieder des Auditteams müssen der Zertifizierungsstelle des BSI frühzeitig einen ausführlichen Nachweis vorlegen, dass ihre Unabhängigkeit in den geplanten Audits nicht gefährdet ist.
- Die Zertifizierungsstelle des BSI behält sich das Recht vor, von der antragstellenden Institution gewählte Auditoren abzulehnen.
Für eine optimale Prozessgestaltung empfiehlt es sich, für die beiden während der Zertifikatslaufzeit erforderlichen Überwachungsaudits das Auditteam aus dem Zertifizierungsaudit zu wählen.
- Wechselt das Auditteam, ist von der antragstellenden Institution dafür Sorge zu sorgen, dass (mindestens) die Referenzdokumente sowie alle vorhergehenden Auditberichte aus der zugrunde liegenden Zertifizierung (Auditbericht aus dem Zertifizierungsprozess selbst sowie ggf. der Auditbericht aus dem ersten Überwachungsaudit, falls bereits erfolgt) dem Auditteam für das Überwachungsaudit zur Verfügung stehen.
- Außerdem ist damit zu rechnen, dass die Aufwände des Auditteams wegen der erneuten Einarbeitung deutlich höher sein können.
Vertraulichkeit von Informationen
- Zur Gewährleistung der Vertraulichkeit zum Beispiel bei der Übergabe der Referenzdokumente müssen geeignete Maßnahmen ergriffen werden.
- Zertifizierte Auditoren sind durch vertragliche Vereinbarungen mit dem BSI verpflichtet, Details zum Auditierungs- und Zertifizierungsverfahren und zu im Rahmen des Audits gewonnenen Informationen streng vertraulich zu behandeln sowie Kollegen und Dritten Informationen nur zu geben, soweit ihre Kenntnis unbedingt notwendig und mit den vertraglichen Vereinbarungen mit dem BSI und der auditierten Organisation vereinbar ist.
Die elektronische Übermittlung des Auditberichts durch den Auditteamleiter an das BSI muss aus Gründen der Vertraulichkeit unbedingt verschlüsselt erfolgen.
- Der Auditbericht wird unter Verweis auf die entsprechende Zertifizierungskennnummer (BSI-IGZ-0xxx) an das Postfach gs-zertpruef@bsi.bund.de geschickt, optional kann er auch in Kopie an den zuständigen Zertifizierer gesandt werden.
- Zur Kryptografie können nachfolgende Programme eingesetzt werden
- Chiasmus
- GnuPG
- Pretty Good Privacy (PGP)
Ziel eines Audits und Auditphasen
- Unabhängige Prüfung
Unabhängige Überprüfung des ISMS nach ISO 27001 auf der Basis von ITGrundschutz in einem fest definierten Geltungsbereich einer Organisation.
Phasen
- Jedes Audit setzt sich grundsätzlich aus zwei getrennten, aufeinander aufbauenden Phasen zusammen
Phase | Beschreibung |
---|---|
Phase 1 | Dokumentenprüfung Phase 1 umfasst zunächst die Dokumentenprüfung, d. h. die Prüfung der Referenzdokumente, die von der zu auditierenden Institution erstellt und für die Zertifizierung eingereicht werden. |
Phase 2 | Umsetzungsprüfung vor Ort Auf der Grundlage der Dokumentenprüfung bereitet sich das Auditteam auf die Vor-OrtPrüfung vor. |
In Phase 2 schließt sich eine Vor-Ort-Prüfung des Informationsverbundes durch das Auditteam an, in der im realen Informationsverbund die praktische Umsetzung der in den Referenzdokumenten dokumentierten Sicherheitsmaßnahmen bzgl. ISO 27001 und IT-Grundschutz auf ihre Angemessenheit, Korrektheit und die Wirksamkeit des ISMS hin überprüft wird (Umsetzungsprüfung).
Details zur Planung und Durchführung von Audits sowie der Anfertigung von Auditberichten sind in den Dokumenten [AUD] nachzulesen.
Zeitverlauf
- Abbildung 2: Antrags- und Auditierungsphase
- Der vollständige Antrag inklusive der Unabhängigkeitserklärung der Auditteammitglieder muss der Zertifizierungsstelle des BSI mindestens 1 Monat vor Beginn des Audits, d.h. vor Beginn der Sichtung der Referenzdokumente, vorliegen.
- In Einzelfällen kann die Prüfung länger dauern, sodass evtl. Audittermine angepasst werden müssen.
- Spätestens 3 Monate nach dem Beginn der Sichtung der Referenzdokumente muss der Auditbericht der Zertifizierungsstelle vorliegen.
- Nachforderungen der Zertifizierungsstelle müssen jeweils nach spätestens 1 Monat erfüllt sein.
- Wenn drei Monate nach Abgabe des ersten Auditberichts das Verfahren noch nicht abgeschlossen ist, prüft die Zertifizierungsstelle des BSI, ob auf der Basis des vorliegenden Berichts noch ein Zertifikat erteilt werden kann.
- Abbildung 3: Fristen Überwachungsaudit
- Das Überwachungsaudit sowie der zugehörige Auditbericht und dessen Prüfung durch die Zertifizierungsstelle des BSI müssen 1 Jahr bzw. 2 Jahre nach Ausstellung des Zertifikates abgeschlossen sein.
- Dabei sollten die Prüfungen nicht früher als 3 Monate vor Ablauf des 1. bzw. 2. Jahres nach Zertifikatserteilung beginnen und der Auditbericht sollte nicht später als 2 Monate vor diesem Zeitpunkt bei der Zertifizierungsstelle eingetroffen sein.
- Die Unabhängigkeitserklärungen für das Überwachungsaudit müssen der Zertifizierungsstelle mindestens 1 Monat vor Beginn der Auditierungstätigkeit vorliegen.
- Abbildung 4: Fristen Re-Zertifizierung
- Bei einer Re-Zertifizierung darf mit der Sichtung der Referenzdokumente frühestens 4 Monate vor Auslaufen des Zertifikates begonnen werden.
- Der Auditbericht muss der Zertifizierungsstelle des BSI mindestens 2 Monate vor dem Gültigkeitsende des Zertifikates vorliegen.
- Darüber hinaus gelten die gleichen Fristen wie für ein Erst-Zertifizierungsaudit (s.
- Abbildung 2: Antrags- und Auditierungsphase)
Audittypen
Für die ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz sind – bezogen auf die dreijährige Laufzeit eines Zertifikates – verschiedene Typen von Audits zu unterscheiden:
- Erst-Zertifizierungsaudit: Im Rahmen eines Erst-Zertifizierungsaudits wird erstmalig der betreffende Informationsverbund der Institution unter ISO 27001- und IT-GrundschutzAspekten auditiert.
- Im Rahmen des Erst-Zertifizierungsaudits kann ein sogenanntes Voraudit (s. Kap. 2.8.1) durchgeführt werden.
- Überwachungsaudit: In die dreijährige Laufzeit eines Zertifikates integriert sind jährliche Überwachungsaudits des zertifizierten Informationsverbundes, die auf die Kontrolle der für das Zertifikat nachgewiesenen Informationssicherheit im Informationsverbund zielen.
Das Audit dient dem Nachweis, dass der zertifizierte Informationsverbund weiterhin den Anforderungen bzgl. ISO 27001 und IT-Grundschutz genügt.
- Re-Zertifizierungsaudit: Nach Ablauf der Zertifikatslaufzeit von drei Jahren wird eine ReZertifizierung des Informationsverbundes erforderlich, sofern weiter eine Zertifizierung des Informationsverbundes angestrebt ist.
- Diese umfasst insbesondere ein Re-Zertifizierungsaudit des Informationsverbundes, das zum großen Teil identisch zum Erst-Zertifizierungsaudit abläuft.
Erst-Zertifizierungsaudit, Überwachungsaudit und Re-Zertifizierungsaudit unterscheiden sich hinsichtlich ihrer Zielsetzung und ihres Umfangs voneinander.
- Bei jedem Typ von Audit findet aber eine Initialisierung (wie z. B. Antragstellung, Klärung von Zuständigkeiten und Befugnissen, Abstimmungen) und eine Bewertung (Schreiben des Auditberichts durch das Auditteam, Sicherstellen der Vergleichbarkeit von Zertifizierungsverfahren durch die Zertifizierungsstelle) statt.
Ein Voraudit ist im Rahmen des Erst-Zertifizierungsaudits zulässig
- Im Rahmen eines ReZertifizierungsaudits ist ein Voraudit nur bei einer wesentlichen Erweiterung oder Veränderung des Geltungsbereichs der Zertifizierung, also des Informationsverbundes, zulässig.
Erst-Zertifizierung
Ein Erst-Zertifizierungsverfahren wird mit der Annahme des Zertifizierungsantrags durch die Zertifizierungsstelle des BSI eröffnet.
- Erst nach Beginn des Zertifizierungsverfahrens und Vergabe der Zertifizierungskennung kann mit der Prüfung begonnen werden.
Im Rahmen eines Erst-Zertifizierungsverfahrens kann ein sogenannten Voraudit durchgeführt werden. Dabei kann das Auditteam gezielt einzelne Aspekte aus Phase 1 und 2 auswählen und stichprobenartig prüfen.
- Außer intensiven Gesprächen mit dem Antragsteller hat das Auditteam die Möglichkeit, sich Dokumente, Prozeduren und Implementierungen anzusehen, um einen Eindruck davon zu bekommen, ob ein Zertifizierungsaudit prinzipiell zu einem positiven Ergebnis führen könnte.
- Dokumentenprüfung
In der Dokumentenprüfung werden die vom Antragsteller vorgelegten Referenzdokumente durch das Auditteam geprüft.
- Nach Abschluss der Dokumentenprüfung entscheidet das Auditteam auf Grundlage der Ergebnisse aus dieser Auditphase, ob eine Fortsetzung des Audits mit der Umsetzungsprüfung vor Ort sinnvoll ist und erweitert ggf. das Auditteam.
- Anschließend begutachtet das Auditteam in der Umsetzungsprüfung vor Ort auf Basis seines Auditplans stichprobenartig die Umsetzung der dokumentierten Sachverhalte.
- Die Prüfergebnisse werden im Auditbericht festgehalten.
- Teil des Auditberichts ist der Auditplan, welcher eine erste, grobe Planung der Überwachungsaudits enthält.
- Auditbericht
Sobald der Auditbericht zu einem Erst-Zertifizierungsaudit in vollständiger Fassung bei der Zertifizierungsstelle vorliegt und die Rechnung für die Zertifizierung vom Antragsteller beglichen wurde, prüft die Zertifizierungsstelle diesen Auditbericht auf Einhaltung aller Vorgaben des Auditierungsschemas für ISO 27001-Audits auf der Basis von IT-Grundschutz.
- Die Prüfung gegen das Auditierungsschema erfolgt mit der Zielsetzung, ein einheitliches Niveau aller ISO 27001Zertifizierungen auf der Basis von IT-Grundschutz und die Vergleichbarkeit von Zertifizierungsaussagen zu gewährleisten.
Der Auditbericht darf sich nur auf Prüfungen des Auditteams (Dokumentenprüfungen und Umsetzungsprüfung) stützen, die zum Zeitpunkt der Übergabe des Auditberichts an die Zertifizierungsstelle nicht älter als drei Monate sind.
- Nachforderungen der Zertifizierungsstelle müssen innerhalb von einem Monat durch das Auditteam erfüllt werden, diese dürfen maximal eine Nachbesserung durch den Antragsteller nach sich ziehen.
- Dagegen sind mehrere Nachforderungen an den Auditbericht durch die Zertifizierungsstelle des BSI möglich.
- Wenn drei Monate nach Abgabe des ersten Auditberichts das Verfahren noch nicht abgeschlossen ist, prüft die Zertifizierungsstelle des BSI, ob auf der Basis des vorliegenden Berichts noch ein Zertifikat erteilt werden kann.
Überwachungsaudits
- Die Überwachungsaudits sind Teil des Erst- bzw. Re-Zertifizierungsverfahrens.
- Aus diesem Grund ist kein erneuter Antrag notwendig.
- Eine erneute Unabhängigkeitserklärung aller Auditteammitglieder muss der Zertifizierungsstelle des BSI 1 Monat vor Beginn des Audits vorliegen.
- Das Überwachungsaudit sowie der zugehörige Auditbericht und dessen Prüfung durch die Zertifizierungsstelle des BSI müssen 1 Jahr bzw. 2 Jahre nach Ausstellung des Zertifikates abgeschlossen sein.
- Dabei ist vom Auditteamleiter darauf zu achten, dass genügend Raum für die Beseitigung von im Überwachungsaudit festgestellten Abweichungen sowie für die Erstellung des Auditberichts eingeplant wird.
- Die Prüfungen des Überwachungsaudits dürfen nicht früher als 3 Monate vor Ablauf des 1. bzw. 2.
Jahres nach Zertifikatserteilung beginnen und der Auditbericht darf nicht später als 2 Monate vor diesem Zeitpunkt bei der Zertifizierungsstelle eingetroffen sein (Vergleich zusammenfassende Darstellung in Kap. 3.3). Ausnahmen sind rechtzeitig mit dem zuständigen Zertifizierer abzustimmen. Andere Rahmenbedingungen wie z. B. ein Wechsel des Auditteams im Vergleich zum Erst-Audit oder zum 1. Überwachungsaudit müssen frühzeitig (mind. 1 Monat vorher) der Zertifizierungsstelle angezeigt werden.
- Nachforderungen der Zertifizierungsstelle müssen innerhalb von einem Monat durch das Auditteam erfüllt werden, diese dürfen maximal eine Nachbesserung durch den Antragsteller nach sich ziehen.
- Kommt das Auditteam insgesamt über beide Auditphasen zu einem positiven Prüfergebnis, sendet der Auditteamleiter den finalen Auditbericht an die Zertifizierungsstelle des BSI. Bei einem negativen Ergebnis muss das BSI ebenfalls hierüber informiert werden.
- Die Zertifizierungsstelle des BSI
- Zertifizierungsschema für ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz überprüft den finalen Auditbericht auf Vollständigkeit, Nachvollziehbarkeit und Reproduzierbarkeit der Prüfergebnisse.
- Nachforderungen oder Nachfragen werden an den Auditteamleiter gestellt, der die ggf. bestehenden Unklarheiten beseitigt.
- Nur bei positivem Abschluss des Prüfprozesses bleibt das vom BSI erteilte ISO 27001-Zertifikat auf der Basis von IT-Grundschutz weiterhin gültig.
- Nach einem Überwachungsaudit erfolgt keine Neuausstellung der Zertifikatsurkunde oder Ergänzung des zugehörigen Anhangs durch die Zertifizierungsstelle.
- Der Antragsteller erhält nach positiver Prüfung durch Auditteam und Zertifizierungsstelle ein Schreiben über diese Tatsache, welches die Zertifikatsurkunde ergänzt.
- Bei nicht fristgerechter Einreichung des Auditberichts oder negativem Abschluss des Überwachungsaudits behält sich die Zertifizierungsstelle das Recht vor, das bestehende Zertifikat auszusetzen oder ggf. zu entziehen, s.Kap. 2.12.
Außer den planmäßigen Überwachungsaudits, welche zweimal im Zertifizierungsverfahren durchgeführt werden, können außerplanmäßige Überwachungsaudits notwendig werden.
- Ein außerplanmäßiges Überwachungsaudit kann beispielsweise zur Überprüfung der Behebung schwerwiegender Abweichungen oder durch die Änderung des Untersuchungsgegenstandes notwendig werden.
- Die Kosten, die in der Zertifizierungsstelle durch außerplanmäßige Überwachungsaudits entstehen, sind nicht in die Pauschale für die Zertifizierung eingerechnet und werden zusätzlich nach Kostenverordnung abgerechnet.
Re-Zertifizierung
- Die Gültigkeit von ISO 27001-Zertifikaten auf der Basis von IT-Grundschutz ist auf drei Jahre begrenzt
- Sind in dieser Zeit wesentliche Änderungen (wie z. B. größere Änderungen im Managementsystem, Änderungen in der Organisation, Änderungen im Outsourcing, Standortwechsel, Änderungen von Tätigkeitsfeldern) am zertifizierten Informationsverbund geplant, muss der Antragsteller diese der Zertifizierungsstelle des BSI unverzüglich schriftlich mitteilen.
- Das BSI entscheidet dann, ob eine vorzeitige Re-Zertifizierung erforderlich ist.
- Im Falle einer Re-Zertifizierung ist immer ein Zertifizierungsantrag zu stellen
Vor Ablauf des Gültigkeitszeitraums eines Zertifikats ist im Falle, dass der Antragsteller weiterhin ein ISO 27001-Zertifikat auf der Basis von IT-Grundschutz für seinen Informationsverbund wünscht, stets eine erneute Zertifizierung des Untersuchungsgegenstands erforderlich, um zu dokumentieren, dass die Voraussetzungen für die Erfüllung der ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz noch erfüllt sind.
- Dieses Zertifizierungsverfahren läuft als Re-Zertifizierungsverfahren, sofern sich der ursprüngliche Untersuchungsgegenstand nicht grundlegend geändert hat und die Re-Zertifizierung sich nahtlos an die Zertifizierung anschließt oder innerhalb angemessener Zeit nach Ablauf der Gültigkeit gestartet wird (ca. ein halbes Jahr). Um eine lückenlose Zertifizierung eines Untersuchungsgegenstands zu erreichen, muss die Re-Zertifizierung vor Ablauf des Gültigkeitszeitraums des Erstzertifikats abgeschlossen sein.
- Ein Antrag auf Re-Zertifizierung oder ein laufendes Re-Zertifizierungsverfahren verlängert die Gültigkeit des Erstzertifikats nicht.
- Re-Zertifizierungsverfahren
Das Re-Zertifizierungsverfahren, sein Ablauf und seine Rahmenbedingungen sind einer ErstZertifizierung vergleichbar und sind sinngemäß zu übertragen, wobei der Bezug zum ablaufenden Zertifikat deutlich gemacht werden muss (z. B. Erläuterung Bausteinauswahl, Darstellung Änderungen).
- Ein Voraudit darf bei einer Re-Zertifizierung nur bei einer wesentlichen Erweiterung oder Veränderung des Geltungsbereichs der Zertifizierung, also des Informationsverbundes, erfolgen.
- Ein Re-Zertifizierungsaudit darf frühestens vier Monate vor Ablauf des Zertifikates beginnen, der Auditbericht muss der Zertifizierungsstelle des BSI spätestens zwei Monate vor Ablauf des Zertifikates vorliegen (Vergleich zusammenfassende Darstellung in Kap. 3.3).
- Nachforderungen der Zertifizierungsstelle müssen innerhalb von einem Monat durch das Auditteam erfüllt werden, diese dürfen maximal eine Nachbesserung durch den Antragsteller nach sich ziehen.
- Ab der ersten Re-Zertifizierung eines nach Kompendium (re-)zertifizierten Untersuchungsgegenstands müssen die zu prüfenden Bausteine vor Beginn der Auditierung mit dem BSI formlos per E-Mail abgestimmt werden.
- Das BSI behält sich hierbei eine Änderung der Auswahl grundsätzlich vor.
Ein im Rahmen einer Re-Zertifizierung erteiltes Zertifikat ist wie ein Erst-Zertifikat für drei Jahre gültig und ebenfalls mit jährlichen Überwachungsaudits verknüpft.
Prüf- und Auditbegleitung
- Prüf- und Auditbegleitung der Zertifizierungsstelle des BSI
Das BSI hat ein Zertifizierungs- bzw. Anerkennungsschema [ZERTAUD] aufgebaut, das die Vergleichbarkeit von Zertifizierungsverfahren und die Kompetenz der zertifizierten Auditoren sicherstellt. Die Prüfbegleitung durch die Zertifizierungsstelle erfolgt durch die intensive Prüfung des Auditberichts.
- Dabei wird vor allem auf die Vergleichbarkeit zwischen den Zertifizierungsverfahren geachtet.
Die Zertifizierungsstelle kann in Absprache mit dem Antragsteller einen Teil des Audits begleiten.
- Die Reisekosten werden dem Antragsteller in diesem Fall gemäß Kostenverordnung in Rechnung gestellt.
- Ergänzender Hinweis
- Nicht Thema dieses Dokuments ist die Begleitung eines Mitgliedes des Auditteams durch die Personenzertifizierungsstelle des BSI im Rahmen seines Vertrages mit dem BSI. Diese ist in der Verfahrensbeschreibung zur Anerkennung von Prüfstellen und Zertifizierung von ITSicherheitsdienstleistern und dem Programm zur Kompetenzfeststellung von Zertifizierung von Personen im Detail geregelt [ZERTAUD].
Auditbericht
- Für jedes Audit ist zur Dokumentation aller Prüfaktivitäten und -ergebnisse vom Auditteamleiter ein Auditbericht zu erstellen
- Das Format und die Inhalte eines Auditberichts sind im Detail im Auditierungsschema für ISO 27001-Audits auf der Basis von IT-Grundschutz [AUD] definiert.
- Die Referenzdokumente des Antragstellers sind als Anlagen dem Auditbericht beizufügen und gelten als Bestandteil des Auditberichts.
- Vorversionen des Auditberichts, welchen z. B. nur die Prüfergebnisse für Phase 1 enthalten, sind in der Regel nicht an die Zertifizierungsstelle zu übersenden.
- Der Auditbericht richtet sich ausschließlich an den Antragsteller und die Zertifizierungsstelle des BSI
Die Ergebnisse des Auditberichts werden vom Auditteam und von der Zertifizierungsstelle des BSI vertraulich behandelt und nicht an Dritte weitergegeben.
- Sofern ein anderes Auditteam als das im Zertifizierungsaudit eingesetzte ein Überwachungsaudit durchführt, müssen vom Antragsteller die Auditdokumente, darunter auch der Auditbericht des Zertifizierungsaudits und im Falle des zweiten Überwachungsaudits auch der Auditbericht des ersten Überwachungsaudits an den neuen Auditteamleiter weitergegeben werden.
- Im Falle eines Erst- oder Re-Zertifizierungsaudits dient der zugehörige Auditbericht der Zertifizierungsstelle als Grundlage für die Erteilung eines Zertifikats.
- Ein Auditbericht im Rahmen eines Überwachungsaudits bildet für die Zertifizierungsstelle die Grundlage für die Aufrechterhaltung eines bereits erteilten Zertifikates.
- Alle an die Zertifizierungsstelle des BSI gesandten Versionen des Auditberichts werden zur einfacheren Bearbeitung in elektronischer Form zur Verfügung gestellt.
- Dabei müssen mindestens das Drucken und das Entnehmen von Inhalt zulässig sein.
- Bei Aktualisierungen des Auditberichts müssen Änderungen zur Vorversion kenntlich gemacht sein.
- Die abgenommene Version des Auditberichts wird der Zertifizierungsstelle zusätzlich im Original in Papierform mit der Unterschrift des Auditteamleiters oder als absenderbestätigte De-Mail zugesandt (s. Kap. 1.7). Der Auditbericht muss der Zertifizierungsstelle verschlüsselt zugesandt werden (s.Kap. 2.6).
Zertifikatserteilung
- Nach positiver Bewertung des Auditprozesses durch die Zertifizierungsstelle des BSI erteilt das BSI
auf der Grundlage des Zertifizierungsantrags und des abgenommenen Auditberichts für den vorliegenden Informationsverbund ein ISO 27001-Zertifikat auf der Basis von IT-Grundschutz.
- Sie fertigt ein Zertifikat und einen Zertifizierungsreport mit zusätzlichen Informationen zum Zertifizierungsverfahren (z. B. Auflagen) sowie einen Zertifikatsbutton für Werbezwecke an.
- Diese Dokumente werden mit dem Zertifizierungsbescheid, dem Widerspruchsverzicht und ggf. den Verwendungsbedingungen für den Zertifikatsbutton an den Antragsteller gesandt.
- Sofern der Antragsteller einer Veröffentlichung des Zertifikates nicht explizit widersprochen hat, wird die Tatsache der Zertifizierung einen Monat nach Zustellung des Zertifikats oder nach Rücksendung des Widerspruchsverzichts auf den Internetseiten des BSI veröffentlicht.
- Auf Nachfrage muss die Zertifizierungsstelle des BSI jedoch Auskünfte zu allen erteilten Zertifikaten geben.
Die zertifizierte Institution darf das Zertifikat sowie einen vom BSI zur Verfügung gestellten Zertifikatsbutton nur unter der Bedingung verwenden, dass das Zertifikat und der zugehörige Zertifizierungsreport jederzeit auf Nachfrage zur Verfügung gestellt werden sowie die mit dem Zertifikatsbutton verbundenen und der zertifizierten Institution mitgeteilten Verwendungsbedingungen für den Button beachtet werden.
- Ist das Zertifikat nicht mehr gültig oder ist das Zertifikat ausgesetzt, darf weder mit dem Zertifikatsbutton noch mit dem Zertifikat (weiter) geworben werden.
Aussetzung und Zurückziehung von Zertifikaten
Aussetzung von Zertifikaten
- Die Zertifizierungsstelle des BSI behält sich vor, erteilte Zertifikate auszusetzen
Mögliche Gründe
- Das Überwachungsaudit wird nicht fristgerecht durchgeführt
- Der Auditbericht zum Überwachungsaudit wird zu spät bei der Zertifizierungsstelle eingereicht
- Im Überwachungsaudit werden schwerwiegende Abweichungen im Informationsverbund bzgl. seiner Dokumentation und/oder Realisierung erkannt
- die vom Antragsteller innerhalb der vom Auditteam gesetzten Frist nicht behoben sind, sich aber in Umsetzung befinden.
- Ausgesetzte Zertifikate
Ausgesetzte Zertifikate werden aus der Liste der ISO 27001-Zertifikate auf der Basis von ITGrundschutz auf den Internetseiten des BSI entfernt.
- Mit ausgesetzten Zertifikaten und dem zugehörigen Zertifikatsbutton darf keine Werbung mehr betrieben werden.
Die Zertifizierungsstelle macht Vorgaben bezüglich des Umgangs mit den für die Aussetzung eines Zertifikates festgestellten Gründen und bestimmt das weitere Vorgehen.
- Sind die Ursachen, die zur Aussetzung eines Zertifikates geführt haben, den Vorgaben der Zertifizierungsstelle entsprechend beseitigt, erhält das betreffende Zertifikat seine Gültigkeit zurück und wird unverändert wieder in die Liste der ISO 27001-Zertifikate auf der Basis von IT-Grundschutz auf den Internetseiten des BSI aufgenommen.
Zurückziehung von Zertifikaten
- Die Zertifizierungsstelle des BSI hat die Möglichkeit, Zertifikate zurückzuziehen
- Mögliche Gründe hierfür können sein
- Das Überwachungsaudit wird nicht durchgeführt.
- Im Überwachungsaudit werden gravierende Abweichungen im Informationsverbund bzgl. seiner Dokumentation und / oder Realisierung erkannt, die vom Antragsteller nicht in einem angemessenen Zeitraum behoben werden können.
- Ein Überwachungsaudit ergibt, dass der Informationsverbund die Anforderungen an ein ISMS nicht mehr erfüllt bzw. den Anforderungen des IT-Grundschutzes nicht mehr gerecht wird.
- Verstoß gegen Auflagen
Der Verstoß gegen Auflagen aus der Zertifizierung wird bekannt (beispielsweise ein Verstoß gegen die Verwendungsbedingungen für das Zertifikat, die Nichteinhaltung von Auflagen, die sich aus dem Zertifizierungsreport oder Zertifizierungsbescheid ergeben, wie etwa wesentliche Veränderungen am zertifizierten Informationsverbund ohne Information an die Zertifizierungsstelle, Irreführungen und Täuschungen der Institution gegenüber dem Auditteam bzw. dem BSI, begründete Beschwerden beim BSI über die Institution). Abweichungen und Empfehlungen aus dem Auditbericht werden ohne ausreichende Begründung nicht behoben bzw. beachtet. Zurückgezogene Zertifikate werden aus der Liste der ISO 27001-Zertifikate auf der Basis von ITGrundschutz (auch auf den Internetseiten des BSI) entfernt.
- Die Zertifikatsurkunde und der Zertifizierungsreport werden vom Zertifikatsinhaber im Original zurückgefordert und sind an die Zertifizierungsstelle zurückzugeben.
- Mit zurückgezogenen Zertifikaten und dem zugehörigen Zertifikatsbutton darf keine Werbung mehr betrieben werden.
Ein zurückgezogenes Zertifikat kann nicht wieder aktiviert und in einen gültigen Zustand versetzt werden.
- Für den betreffenden Informationsverbund ist, falls vorgesehen, ein neues Zertifizierungsverfahren aufzusetzen.
Hält das BSI es z. B. nach Beschwerden über die Institution für erforderlich, kurzfristig ein außerplanmäßiges Audit durchzuführen oder durch ein Auditteam durchführen zu lassen, so läuft dies nach den Vorgaben dieses Dokumentes und dem Auditierungsschema für ISO 27001-Audits auf der Basis von IT-Grundschutz ab.
- Bei begründeten Beschwerden ist die Durchführung dieses Audits kostenpflichtig.
Beschwerdeverfahren
Beschwerden zum Zertifizierungsverfahren ISO 27001 auf der Basis von IT-Grundschutz können formlos per Post oder elektronisch an das Bundesamt für Sicherheit in der Informationstechnik Referat SZ 25 Postfach 200363 53133 Bonn gs-zert@bsi.bund.de oder gs-zert@bsi-bund.de-mail.de adressiert eingehen. Eingang und Termin der Bearbeitung werden dem Beschwerdeführer daraufhin kurzfristig mitgeteilt. Die Beschwerde wird registriert und anschließend geprüft.
- Sofern die Beschwerde nach Prüfung berechtigt ist, werden entsprechende Korrektur- und Vorbeugungsmaßnahmen ergriffen, über die der Beschwerdeführer benachrichtigt wird.
Sollte die Prüfung zum Ergebnis haben, dass die Beschwerde ungerechtfertigt ist, so wird der Beschwerdeführer auch hierüber unterrichtet.
- Gegen Bescheide der Zertifizierungsstelle ist das Rechtsmittel des Widerspruchs gegeben, der schriftlich oder zur Niederschrift an das Bundesamt für Sicherheit in der Informationstechnik zu richten ist.
IT-Grundschutz-Profile
IT-Grundschutz/Profile - Schablonen für die Informationssicherheit
Beschreibung
- Definition IT-Grundschutz-Profil
Schablone für ein ausgewähltes Szenario
- Informationsverbund oder Geschäftsprozess
Konkretes Beispiel für die Umsetzung
- IT-Grundschutz-Vorgehensweise
- Schritt für Schritt exemplarisch
- Ziel
Ziel ist es, dass Gremien oder Gruppen einer Branche für ihr spezifisches Anwendungsfeld spezifische Anforderungen und passende Sicherheitsempfehlungen definieren, um ihren Mitgliedern die Möglichkeit zu geben, dies als Rahmen für ihr firmenspezifisches Sicherheitskonzept zu adaptieren.
- Anwenderspezifische Empfehlungen
- Individuelle Anpassungen des IT-Grundschutzes an die jeweiligen Bedürfnisse
- Berücksichtigt Möglichkeiten und Risiken der Institution
- Profile beziehen sich auf typische IT-Szenarien
- Profile werden durch Dritte (Verbände, Branchen, ...) erstellt, nicht durch das BSI
- Keine BSI-Vorgabe
- Anwendung bzw. Nutzungsmöglichkeit veröffentlichter Profile
Aufbau
Inhalt | Beschreibung |
---|---|
Formale Aspekte | |
Management Summary | |
Geltungsbereich | |
Referenzarchitektur | |
Umsetzungshinweise | |
Anwendungshinweise |
Formale Aspekte
- Titel
- Autor
- Verantwortlich
- Registrierungsnummer
- Versionsstand
- Revisionszyklus
- Vertraulichkeit
- Status der Anerkennung durch das BSI
Management Summary
- Kurzzusammenfassung der Zielgruppe
- Zielsetzung und Inhalte des IT-Grundschutz-Profils
Geltungsbereich
- Zielgruppe
- Angestrebter Schutzbedarf
- Zugrundeliegende IT-Grundschutz-Vorgehensweise
- ISO 27001-Kompatibilität
- Rahmenbedingungen
- Abgrenzung
- Bestandteile des IT-Grundschutz-Profils
- Nicht im IT-Grundschutz-Profil berücksichtigte Aspekte
- Verweise auf andere IT-Grundschutz-Profile
Referenzarchitektur
- Abgrenzung Teilinformationsverbund vom Gesamtinformationsverbund
- Informationsverbund mit
- Prozessen,
- Infrastruktur
- Netz-Komponenten
- IT-Systemen
- Anwendungen
- Textuell und grafisch mit eindeutigen Bezeichnungen
- Wenn möglich, Gruppenbildung
- Umgang bei Abweichungen zur Referenzarchitektur.
Umsetzungshinweise
- Umzusetzende Anforderungen und Maßnahmen
- Zuordnung von Prozess- und System-Bausteinen auf Untersuchungsgegenstand.
- Umsetzungsvorgabe
- „Auf geeignete Weise“
- „Durch Umsetzung der zugehörigen Maßnahmen der Umsetzungshinweise“
- „Durch Umsetzung von [...]“
- Auswahl der umzusetzenden Anforderungen eines Bausteins
- Verzicht auf (einzelne) Standardanforderungen
- Verbindliche Erfüllung von Anforderungen für erhöhten Schutzbedarf
- Zusätzliche Anforderungen
- Verbindliche Vorgabe einer Maßnahme zur Erfüllung einer Anforderung
- Bedingte Einschränkung für Umsetzung eines Bausteins / einer Anforderung
- [...]
Anwendungshinweise
- Zusätzliche Informationen zur Anwendung und Integration in das Gesamtsicherheitskonzept
- Risikobehandlung
- Nennung von zusätzlichen Risiken mit Behandlungsempfehlungen.
- Unterstützende Informationen
- Hinweise, wo vertiefende Informationen zu finden sind
- Anhang
- Glossar
- Zusätzliche Bausteine
- ...
Grundschutz-Audit
Business Continuity Management
Business Continuity Management (BCM) - Sicherstellung des Fortbestands von Einrichtungen
Beschreibung
- Betriebskontinuitätsmanagement (BKM)
Sicherstellung des Fortbestands von Einrichtungen
- Bei Risiken mit hohem Schadensausmaß
- Strategien, Plänen und Handlungen
BCMS etablieren | Rahmenbedingungen, Aufbau- und Ablauforganisation |
Kritische Prozesse ermitteln | Prozesse mit ernsthafte Schäden oder vernichtenden Verlusten bei Unterbrechung |
Kritische Prozesse absichern | Schützen und alternative Abläufe ermöglichen |
Sicherstellung des Fortbestands
- Sicherstellung des Fortbestands einer Einrichtung
Im Sinne ökonomischer Nachhaltigkeit im Angesicht von Risiken mit hohem Schadensausmaß
- Begriffe
- Betriebskontinuitätsmanagement
- Managementmethode
- Lebenszyklus-Modell
- Fortführung der Geschäftstätigkeit unter Krisenbedingungen absichern
- Verwandtschaft mit Risikomanagement
- Good Practice Guide
Methode und Rahmen des BKM sind im Good Practice Guid veröffentlicht, der durch das (GB) Business Continuity Institute herausgegeben wird
- Zentrale Kompetenzen für Praktiker sind in den (GB, USA) „Joint Standards“ geregelt, die gemeinsam durch das Business Continuity Institute und das Disaster Recovery Institute International herausgegeben werden
- Bundesamt für Sicherheit in der Informationstechnik
Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) hat den Standard BSI 100-4 „Notfallmanagement“ als Ergänzung zum IT-Grundschutz entwickelt
- Mit der Modernisierung des IT-Grundschutz wird bereits an dem Nachfolger BSI 200-4 gearbeitet
- Incident Management
Um bei Vorfällen (siehe auch Incident Management) oder im Katastrophenfall die Abwicklung der Geschäfte eines Unternehmens fortführen zu können (Business Continuity) müssen Analysen und Planungen vorgenommen werden
- Primär Fragen
- Welche Prozesse müssen unbedingt aufrechterhalten werden?
- Welche Maßnahmen sind dafür notwendig?
- Prioritäten und Ressourcen
- Dazu müssen Prioritäten definiert und benötigte Ressourcen zugeordnet werden
- Eine Maßnahme im Zuge einer Business-Continuity-Planung stellt das Disaster Recovery dar, der gesamte Prozess der Geschäftsfortführung muss sich jedoch darüber mit sehr vielen anderen Punkten beschäftigen
Business Continuity Management
Organisationseinheit eines Unternehmens
- Aufbau und Betrieb eines Notfall- und Krisenmanagements
- Systematischer Vorbereitung auf die Bewältigung von Schadenereignissen
- Ziele
Wichtige Geschäftsprozesse selbst in
- kritischen Situationen und Notfällen
- nicht oder nur temporär
- unterbrochen werden
- die wirtschaftliche Existenz des Unternehmens trotz Schadenereignis gesichert bleibt
- Ziel
- Generierung und Proklamation von Prozessdefinitionen und Dokumentation
- Betriebsbereiter dokumentierter Notfallvorsorgeplan
- Exakt auf die Organisation abgestimmt
- Sensibilisierung aller Mitarbeiter auf das Thema „wirtschaftliche Existenzsicherung bei einer unternehmenskritischen Notfallsituation“
BSI-Standard 200-4
Standards | |
---|---|
200-1 | Anforderungen an ein ISMS |
200-2 | Umsetzung der Anforderungen |
200-3 | Risikoanalyse |
200-4 | Business Continuity Management |
Kompendium | |
Kapitel 1 | IT-Grundschutz/Kompendium/Vorspann |
Kapitel 2 | Schichtenmodell / Modellierung |
Elementare Gefährdungen |
Elementare Gefährdungen |
Schichten | Prozesse Systeme |
Business Continuity Management - BCM (2023)
- Etablierung eines Business Continuity Management
ISMS nach BSI IT-Grundschutz
- Grundlage zur Nutzung von Synergieeffekten
- Auf bereits dokumentierte Informationen zurückgreifen
- Zeitkritischen Geschäftsprozesse und Abhängigkeiten
- Parameter für Normal- und Notbetrieb
- Methodik nach BSI-Standard 200-3
- kann aus dem ISMS adaptiert werden
- Hinweise
- Die Etablierung eines Business Continuity Managements setzt umfangreiche Kenntnisse der Organisation voraus
- Eine Umsetzung eines ISMS impliziert keine Umsetzung eines Business Continuity Managements
- siehe auch DER.4 Notfallmanagement
- ISO 22301
Mit dem Best-Practice Standard 200-4 des BSI kann eine Zertifizierung nach der ISO 22301 erreicht werden
Notfallmanagement
- Notfallmanagement
- Schäden vermeiden und eindämmen
- Notfälle verhindern und bewältigen
- Klassisches Notfallmanagement
- Brandschutz
- Arbeits- und Unfallschutz
- ...
- Business Continuity Management
- Wiederanlauf des Geschäftsbetriebs
- Modernere Begriff zur Bewältigung der heute relevanten Risikoszenarien
Business Continuity Management System
Rahmenwerk für ein Business Continuity Management System (BCMS)
- Management von Notfällen und Krisen
- technisch
- nicht-technisch
- Relevanz
Zunehmende Relevanz der Einbeziehung von Maßnahmen für die Geschäftsfortführung (Business Continuity) für die Informationsverarbeitung
- Gravierende Risiken
- frühzeitig erkennen
- Maßnahmen dagegen etablieren
- Überleben der Einrichtung sichern
- Organisationen beliebiger Art, Größe und Branche
- Synergieeffekte
- Zahlreiche Synergieeffekte zum IT-Grundschutz
- Ressourcen schonen
- Zusammenhänge und Wechselwirkungen berücksichtigen
Einbettung in die Organisationsstruktur
- Geplantes und organisiertes Vorgehen
- Widerstandsfähigkeit (zeit-) kritischer Geschäftsprozesse steigern
- Auf Schadensereignisse angemessen reagieren
- Geschäftstätigkeiten schnellstmöglich wiederaufnehmen
- Business Continuity Management System (BCMS)
Aufrechterhaltung der Betriebsfähigkeit einer Organisation
- systematische, geplante und organisierte Vorgehensweise
- das Erreichen der Ziele der Organisation für ein angemessenes Business Continuity Niveau
- BCMS ist kein Bestandteil eines ISMS
- Eigenständiges Managementsystem mit (oftmals) zahlreichen Schnittstellen
Aufbauorganisation
Rollen/Verantwortung
Allgemeine Aufbauorganisation
- Allgemeine Aufbauorganisation (AAO)
- Etablierte organisationsweite Hierarchie und Führungsstruktur
Besondere Aufbauorganisation
- Besondere Aufbauorganisation (BAO)
- Zielgerichtete und zweckmäßige Gruppierung, um bei Zwischenfällen zeitgerecht zu agieren
Stufenmodell
- Stufenmodell für Vorgehensweisen
Option | Beschreibung |
---|---|
Reaktiv | Schnelle Fähigkeit zur Notfallbewältigung |
Aufbau | Schrittweiser, ressourcenschonender Aufbau |
Standard | Vollständige Absicherung, Resilienz der Institution |
Reaktiv
- Basis-Niveau
Schnelle Fähigkeit zur Notfallbewältigung
- Spart Ressourcen
- Wenn keine „Notfälle“ eintreten würden
- Lücken in der Absicherung
- Nicht alle Bereiche werden betrachtet
Aufbau
Schrittweiser, ressourcenschonender Aufbau
- Kann für einen kleineren Teil des Scope gezielt eingesetzt
- Bereiche, die in der Absicherung der Organisation nicht werden betrachtet werden
Standard
Vollständige Absicherung/Resilienz der Institution
- Konformität ISO-22301
- Möglichkeit zur Zertifizierung nach ISO 22301
- Erhöhter Ressourcenbedarf gegenüber den Einstiegsstufen
Organisationsspezifisches BCMS
Planung eines organisationsspezifischen BCMS
- Vorgehensweisen
- Reaktiv
- Aufbau
- Standard
- Aufgabenbereiche
- Planung und Umsetzung
- Überwachung
- kontinuierlichen Verbesserung
BSI-Standard 200-4 beschreibt die spezifischen Aufgabenbereiche detailliert
- Basis für die Erstellung eines Projektplans für eigens BCMS genutzt werden
Szenarien
- Art von Ereignissen (Incidents)
- IT/System-Ausfall
- Gebäudeausfall
- Ausfall von Personal (Pandemie, ...)
- Ausfall von Lieferanten/Partnern
- Notfallszenario
Je nach Ereignis wird das Unternehmen mit einem spezifischen Notfallszenario reagieren
- Um die Kontinuität des Unternehmens sicherzustellen, ist bei einem System-Ausfall anders zu reagieren als bei einem starken Anstieg von erkranktem Personal
- Für den ersten Fall wird sich das Unternehmen parallele IT-Systeme beschaffen, um den Ausfall eines Systems über alternative Ressourcen zu überbrücken
- Ein großer Personalausfall ist aus Sicht des Unternehmens eher mit Präventionsmaßnahmen zu behandeln
- Als Beispiel sind etwa verstärkte Hygienemaßnahmen bei Ankündigung einer Pandemie zu nennen
Business Impact Analyse
Grundlage für eine Sicherheitsstrategie für Notfälle und Krisen
- Zusammen mit Risikoanalysen
- Ermittlung
- Prozesse mit hohem Schadenspotential
- Zugrundeliegende Ressourcen
- Abhängigkeiten zwischen Prozessen
- Auswirkungen von Ausfällen
- Wiederanlaufpläne
siehe BCMS/Business Impact Analyse
Dokumentation
Referenzdokumente
- Präventiv
Dokumente zur Vorsorge
- Anforderungen an das BCMS
- Elemente des BCMS
- Teil der Notfallvorsorge
Beispiele
- Leitlinie zum Business Continuity Management
- Notfallvorsorgekonzept
- Prozessbeschreibungen und Anweisungen
- Hilfsmittel
- Reaktiv
Dokumente zur Reaktion
- Notfallbewältigung
Beispiel
- Notfallhandbuch
Tests und Übungen
Tests und Übungen sind im Business Continuity Management besonders wichtig
- Hohen Stellenwert in BSI-Standard 200-4
- Planung von Übungen und Tests
Besondere Widrigkeiten im eigenen Geschäftsbetrieb
- Wichtiges Kriterium für die Planung von Übungen und Tests
- ISB und Business Continuity Beauftragte
Sollten die Organisation dabei unterstützen, einen umfassenden Übungsplan zu erstellen
- Verfahren zu mindestens folgenden Übungsarten ausarbeiten
- Übungsarten
Übung | Beschreibung |
---|---|
Planbesprechung | Besprechung von Maßnahmenplänen |
Stabsübung | BCM-Prozess Beteiligte simulieren einen Notfall |
Stabsrahmenübung | Auch externe Stellen werden an der Simulation beteiligt |
Alarmierungsübung | Testen der vorgesehenen Alarmierungsketten |
Funktionstest | Funktion von relevanten Funktionen testen (z. B. Restore oder Notstrom) |
Synergien
Business Continuity Management
Die Notwendigkeit eines Business Continuity Management Systems(BCMS) ist oft leichter ersichtlich, als beim Informationssicherheitssystems (ISMS)
- Prozessual gesteuerte Kommunikation
- zwischen der IT, dem ISB und dem Business Continuity Beauftragten
- verbindliche Festlegungen einer Verbesserung des BCMS und des ISMS
- Beispiel
- Jeder IT-Notfall muss an den ISB kommuniziert werden, da es sich wahrscheinlich um einen meldepflichtigen IT-Sicherheitsvorfall handeln kann
- Synergien
- Strukturanalyse
- Schutzbedarfsfeststellung
- Modellierung
Weitere Managementsysteme
Baustein DER.4 Notfallmanagement
Sicherheitsvorfälle behandeln
IT-Grundschutz/Vorfallbehandung - Sicherheitsvorfallbehandung
Beschreibung
Sicherheitsvorfallbehandung - BSI-Leitfaden
Beschreibung
Inhalte
Nr | Themenfeld | Praktiker | Experte |
---|---|---|---|
1 | Einführung in das Cyber-Sicherheitsnetzwerk | X | X |
2 | Verhalten am Telefon und nicht technische Maßnahmen | X | - |
3 | Gefährdungen und Angriffsformen | X | - |
4 | Angriffsszenarien und Gegenmaßnahmen | - | X |
5 | Ablauf des Standardvorgehens | X | X |
6 | Behandlung von speziellen IT-Sicherheitsvorfällen | X | X |
7 | Remote-Unterstützung | X | - |
8 | Vorfallsbearbeitung bei IT-Systemen „abseits der üblichen Büroanwendung“ | X | X |
9 | Vor-Ort-Unterstützung: Überblick verschaffen | - | X |
10 | Vor-Ort-Unterstützung: Vorfallbearbeitung | - | X |
11 | Nach einem Vorfall ist vor einem Vorfall | X | X |
Prüfung zum Grundschutz-Praktiker
Seminar/Grundschutz/Praktiker/Prüfung