IT-Grundschutz/Grundschutz-Check: Unterschied zwischen den Versionen

Aus Foxwiki
Weiterleitung auf Kategorie:Grundschutz/Grundschutz-Check entfernt
Markierung: Weiterleitung entfernt
K Textersetzung - „[[Grundschutz“ durch „[[IT-Grundschutz“
 
(156 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
'''topic''' - Kurzbeschreibung
'''Grundschutz-Check''' - Soll-Ist-Vergleich zwischen geforderten und erfüllten Anforderungen


== Beschreibung ==
== Beschreibung ==
Sind die Informationen und die Informationstechnik in meiner Institution hinreichend geschützt? Was bleibt noch zu tun?
; Motivation
Sind Informationen und Informationstechnik hinreichend geschützt?
* Was bleibt zu tun?


Der Grundschutz-Check ist ein effizientes Instrument zur Beantwortung dieser Fragen.
; Soll-Ist-Vergleich
* Das Vorgehen ist im Prinzip denkbar einfach: Die bereits umgesetzten Sicherheitsmaßnahmen werden mit den Anforderungen des zuvor mit Hilfe des Grundschutz-Kompendiums entwickelten Grundschutz-Modells verglichen, um das erreichte Sicherheitsniveau zu identifizieren und Verbesserungsmöglichkeiten aufzuzeigen.
* Anforderungen mit den umgesetzten Sicherheitsmaßnahmen
* Informationsverbund oder Komponente
* Umgesetzte Sicherheitsmaßnahmen mit den Anforderungen des entwickelten Grundschutz-Modells vergleichen
* Bestehendes Sicherheitsniveau identifizieren
* Verbesserungsmöglichkeiten aufzeigen


Bei einem systematischen Vorgehen greifen Sie dazu auf die '''Ergebnisse der vorangegangenen Schritte''' zurück:
; Grundschutz-Modell
* Bei der Strukturanalyse haben Sie die vorhandenen Informationen, -Systeme, Räume und Kommunikationsverbindungen sowie die von diesen unterstützten Anwendungen erfasst.
Grundlage des Grundschutz-Checks
* Anschließend haben Sie den Schutzbedarf der Anwendungen, -Systeme, Räume und Kommunikationsverbindungen bestimmt und
* ist das in der Modellierung aufgrund der vorhandenen Zielobjekte und ihres Schutzbedarfs zusammengestellte '''Grundschutz-Modell''' des Informationsverbundes
* bei der Modellierung durch Auswahl und Konkretisierung der anzuwendenden Bausteine einen '''Prüfplan''' („Grundschutz-Modell“) für den Informationsverbund und dessen Zielobjekte zusammengestellt.
* In diesem Modell ist festgelegt, welche Bausteine und damit Anforderungsbündel für die einzelnen Zielobjekte des Informationsverbundes anzuwenden sind


Den Prüfplan wenden Sie beim Grundschutz-Check an, indem Sie für jedes Zielobjekt prüfen, inwieweit die relevanten Anforderungen der Grundschutz-Bausteine durch angemessene technische und organisatorische Maßnahmen erfüllt sind.
; Anforderungen
* Basisanforderungen
* Standardanforderungen
* Anforderungen für den erhöhten Schutzbedarf


; Gliederung
; Vorgehensweise
* Vorbereitungen
Welche dieser Anforderungen Sie im Grundschutz-Check berücksichtigen, hängt von der Vorgehensweise der IT-Grundschutz-Methodik ab
* Durchführung
* Bei der Vorgehensweise Basis-Absicherung prüfen Sie lediglich die Erfüllung der Basis-Anforderungen
* Dokumentation
* Bei den Vorgehensweisen Standard-Absicherung und Kern-Absicherung berücksichtigen Sie zusätzlich die Standard-Anforderungen
 
* Die Anforderungen für den erhöhten Schutzbedarf haben Beispielcharakter und können im Bedarfsfall durch andere Maßnahmen mit starker Schutzwirkung ersetzt oder ergänzt werden
=== Anforderungen ===
* Sie prüfen diese Anforderungen also nur dann, wenn sie als Ergebnis einer Risikoanalyse in das Grundschutz-Modell aufgenommen wurden, also Bestandteil des Sicherheitskonzepts geworden sind
Der Grundschutz-Check ist ein '''Soll-Ist-Vergleich''' der Anforderungen an einen Informationsverbund oder eine seiner Komponenten mit den umgesetzten Maßnahmen.
 
Grundlage des Grundschutz-Checks ist das in der Modellierung aufgrund der vorhandenen Zielobjekte und ihres Schutzbedarfs zusammengestellte '''Grundschutz-Modell''' des Informationsverbundes.
* In diesem Modell ist festgelegt, welche Bausteine und damit Anforderungsbündel für die einzelnen Zielobjekte des Informationsverbundes anzuwenden sind.
 
[[Image:Abb_6_01_Anforderungen.png?__blob=normal&v=1Bild3.png|top|alt="Die Grafik veranschaulicht den im nachfolgenden Text beschriebenen Zusammenhang zwischen IT-Grundschutz-Variante und relevanten IT-Grundschutz-Anforderungen."]]
 
Die Bausteine enthalten drei Arten von Anforderungen: Basis- und Standardanforderungen sowie Anforderungen für den erhöhten Schutzbedarf.
 
Welche dieser Anforderungen Sie im Grundschutz-Check berücksichtigen, hängt von der Vorgehsensweise der ITGrundschutz-Methodik ab:
* Bei der Vorgehensweise Basis-Absicherung prüfen Sie lediglich die Erfüllung der Basis-Anforderungen.
* Bei den Vorgehensweisen Standard-Absicherung und Kern-Absicherung berücksichtigen Sie zusätzlich die Standard-Anforderungen.
* Die Anforderungen für den erhöhten Schutzbedarf haben Beispielcharakter und können im Bedarfsfall durch andere Maßnahmen mit starker Schutzwirkung ersetzt oder ergänzt werden.
* Sie prüfen diese Anforderungen also nur dann, wenn sie als Ergebnis einer Risikoanalyse in das Grundschutz-Modell aufgenommen wurden, also Bestandteil des Sicherheitskonzepts geworden sind.
* siehe [[Risikoanalyse]]
* siehe [[Risikoanalyse]]


== Vorbereitung und Durchführung ==
; Anforderungen
Den Umsetzungsgrad der einzelnen Maßnahmen für das jeweilige Zielobjekt ermitteln und dokumentieren Sie beim Grundschutz-Check in Interviews mit den zuständigen Mitarbeitern und Überprüfungen vor Ort, durch Begehung von Serverräumen oder Kontrolle von Konfigurationseinstellungen.
Basis für den IT-Grundschutz-Check sind die Anforderungen aus dem IT-Grundschutz/Kompendium
* Aus der Strukturanalyse und der anschließenden Modellierung geht ein Modell des Informationsverbundes hervor, das alle relevanten Objekte mit den zugehörigen Bausteinen des IT-Grundschutz/Kompendiums enthält
* Aufgrund der nun vorliegenden Bausteine wird für jedes Objekt ermittelt, wie hoch der Erfüllungsgrad der in den Bausteinen enthaltenen Anforderungen ist
* Dies geschieht großenteils durch Interviews mit den Verantwortlichen der jeweiligen Bereiche


Die Qualität der Ergebnisse der Interviews und Begehungen hängt auch von einer guten Vorbereitung und der Beachtung einiger Regeln bei der Durchführung ab
; Überblick über das vorhandene IT-Sicherheitsniveau
* Zunächst die wichtigste Regel: Die Informationstechnik ändert sich kontinuierlich, sodass regelmäßig geprüft werden muss, ob die eingeführten Sicherheitsmaßnahmen noch einen angemessenen Schutz bieten.
Der IT-Grundschutz-Check ist somit ein Organisationsinstrument, welches einen gebündelten Überblick über das vorhandene IT-Sicherheitsniveau bietet
* Deswegen wird das Grundschutz-Kompendium fortlaufend angepasst und um neue Bausteine ergänzt.
* Als Ergebnis liegt ein Katalog vor, in dem für jede relevante Anforderung der Umsetzungsstatus „entbehrlich“, „ja“, „teilweise“ oder „nein“ erfasst ist
* Benutzen Sie bitte für den Grundschutz-Check die '''aktuelle Version des''' '''Grundschutz-Kompendiums''', da nur diese eine dem Stand der Technik entsprechende Sicherheit unterstützt.
* Durch die Identifizierung von nicht oder nur teilweise umgesetzten Maßnahmen werden Verbesserungsmöglichkeiten für die Sicherheit der betrachteten Informationstechnik aufgezeigt
* Die vorhandenen '''Dokumente''' über sicherheitsrelevante Abläufe, Regelungen und Sachverhalte enthalten bereits viele Informationen, die Ihnen bei der Ermittlung des Erfüllungsgrads der Anforderungen helfen können.
* Sichten Sie diese Papiere daher bereits vorab.
* Wählen Sie '''geeignete Ansprechpartner''' aus.
* Klären Sie in diesem Zusammenhang auch, ob externe Stellen hinzuzuziehen sind, Fremdfirmen, an die Teilaufgaben des Informationsverbundes delegiert wurden.
* Ansprechpartner ergeben sich direkt aus den im genannten Rollen sowie oft aus dem sachlichen Zusammenhang: So können Mitarbeiter der Personalabteilung oder Benutzerbetreuer gute Ansprechpartner für den Baustein ''Personal'' sein, während es sich anbietet, für die Systembausteine zu Netzen, -Systemen oder Anwendungen die jeweils zuständigen Administratoren und Anwendungsbetreuer zu befragen.
* Vier Augen und Ohren sehen und hören mehr als zwei.
* Führen Sie die Interviews nach Möglichkeit daher '''nicht alleine''' durch.
* Es empfiehlt sich eine Arbeitsteilung: Einer führt das Gespräch und stellt die Fragen, ein anderer protokolliert die Ergebnisse.
* Selbstverständlich sollten Sie bei der Befragung den Inhalt der Anforderungsbeschreibungen sowie die zugehörigen Umsetzungsempfehlungen kennen.
* Gegebenenfalls können stichpunktartige '''Zusammenfassungen''' zu einzelnen Anforderungen sowie möglichen Maßnahmen, mit denen sie erfüllt werden können, nützlich sein.
* Zuletzt noch ein ebenso selbstverständlicher Hinweis: Der Grundschutz-Check ist eine Chance, die Informationssicherheit zu verbessern, und kein Verhör.
* Sorgen Sie daher für ein '''entspanntes Klima''' und zwar sowohl beim Gespräch als auch bei Begehungen und Überprüfungen vor Ort.


== Dokumentation ==
; Soll/Ist-Abgleich
Den '''Erfüllungsgrad''' der Grundschutz-Anforderungen für die verschiedenen Zielobjekte des betrachteten Informationsverbundes dokumentieren Sie mit folgenden Kategorien:
Der IT-Grundschutz-Check gibt Auskunft über die noch fehlenden Maßnahmen (Soll/Ist-Abgleich)
* '''„entbehrlich“''', wenn die Erfüllung einer Anforderung nicht notwendig ist, da den möglichen Gefährdungen mit mindestens gleichwertigen Ersatzmaßnahmen entgegengewirkt wird ( erübrigen sich Passwortregeln, wenn Chipkarten zusätzlich für die Authentisierung eingesetzt werden) oder wenn die Empfehlungen für den betrachteten Einsatzzweck nicht relevant sind (so ist die Anforderung zur Absicherung von Fernwartung nur dann bedeutsam, wenn tatsächlich auch Systeme von entfernten Standorten aus gewartet werden),
* Daraus folgt, was noch zu tun ist, um das angestrebte Maß an Sicherheit zu erlangen
* '''„ja“''', wenn die Anforderung durch geeignete Maßnahmen vollständig, wirksam und angemessen erfüllt wird,
* Die Grundschutz-Methodik unterscheidet hier die Basis-, Standard- oder Kern-Absicherung
* '''„teilweise“''', wenn die Anforderung nur teilweise erfüllt wird,
* Die Anforderungen des Kompendiums sind für die jeweilige Absicherungsmethode gekennzeichnet (Basis, Standard und für erhöhten Schutzbedarf)
* '''„nein“''', wenn die Anforderung nicht erfüllt wird, geeignete Maßnahmen also größtenteils noch nicht umgesetzt sind.


Die folgende Abbildung veranschaulicht den Entscheidungsprozess
; Hoher/sehr hoher Schutzbedarf
Für Systeme mit hohem/sehr hohem Schutzbedarf werden mitunter auch auf einer [[Risikoanalyse]] basierende [[Informationssicherheits-Konzepte wie nach [[ISO/IEC 27001]] angewandt


[[Image:Abb_6_03_IT-Grundschutz-Check.png?__blob=normal&v=1Bild4.png|top|alt="Die Grafik veranschaulicht den im Text beschriebenen Entscheidungsprozess beim IT-Grundschutz-Check."]]
; Vorarbeiten
{| class="wikitable options"
|-
! Arbeitsschritt !! Beschreibung
|-
| [[IT-Grundschutz/Strukturanalyse]] || Ermittlung der relevanten Zielobjekte des Informationsverbundes
|-
| [[IT-Grundschutz/Schutzbedarf]]sfeststellung || Festlegung des Schutzbedarfs für die ermittelten Zielobjekte
|-
| [[IT-Grundschutz/Modellierung]] || Anwendung der Grundschutz-Bausteine auf die Zielobjekte
|}


'''Bitte beachten Sie:''' Wird die Erfüllung einer Anforderung auf „entbehrlich“ gesetzt, weil Alternativmaßnahmen ergriffen wurden, muss nachgewiesen werden, dass diese Maßnahmen die bestehenden Risiken angemessen minimieren.
Damit wurde ein ''Prüfplan'' („Grundschutz-Modell“) für den Informationsverbund und dessen Zielobjekte zusammengestellt
* Identifizieren Sie hierfür über die Kreuzreferenztabelle des jeweiligen Bausteins die zugehörigen elementaren Gefährdungen.
* Wurden Alternativmaßnahmen ergriffen, begründen Sie, dass diese das von den relevanten Gefährdungen ausgehende Risiko angemessen verringern.
* Generell gilt, dass Risiken aufgrund der Nichterfüllung von Basis-Anforderungen nicht übernommen werden können.
* Anforderungen dürfen darüber hinaus nicht quasi automatisch durch pauschale Akzeptanz oder pauschalen Ausschluss einer elementaren Gefährdung als „entbehrlich“ eingestuft werden.


=== Dokumentation ===
; Prüfplan anwenden (Grundschutz-Check)
Damit die Ergebnisse des Grundschutz-Checks später und auch von Dritten nachvollzogen und überprüft werden können, ist es wichtig, dass Sie diese sorgfältig dokumentieren.
Je Zielobjekt prüfen
* Vergessen Sie nicht, bei Anforderungen, die Sie als entbehrlich, nur teilweise oder überhaupt nicht erfüllt eingestuft haben, in der Dokumentation Ihre '''Begründung''' hierfür anzugeben.
* inwieweit relevante Anforderungen erfüllt sind
* durch technische oder organisatorische Maßnahmen


Zur Dokumentation gehören natürlich auch '''formale Angaben.''' Geben Sie bitte bei jedem Interview an,* auf welches Zielobjekt es sich bezieht,
== Vorgehen ==
* wann es stattfand,
{| class="wikitable options big col1center"
* wer es durchgeführt hat und
|-
* wer befragt wurde.
! Schritt !! Bezeichnung !! Beschreibung
|-
| 1 || [[#Vorbereitungen|Vorbereitungen]] ||
|-
| 2 || [[#Durchführung|Durchführung]] ||
|-
| 3 || [[#Dokumentation|Dokumentation]] ||
|}


=== Hilfsmittel ===
=== Vorbereitung ===
Sie können sich die Dokumentation des Grundschutz-Checks mit Hilfsmitteln vereinfachen:
; Umsetzungsgrad ermitteln und dokumentieren
* So finden Sie unter den Hilfsmitteln zum Grundschutz entsprechende Checklisten für alle Bausteine (zum Download)
Umsetzungsgrad einzelner Maßnahmen für das jeweilige Zielobjekt ermitteln und dokumentieren
* Der Grundschutz-Check wird auch durch eine Reihe an Tools unterstützt, die auf die Grundschutz-Methodik zugeschnitten sind.
* Interview der zuständigen Mitarbeiter
* Bei Verwendung eines solchen Werkzeugs haben Sie den zusätzlichen Vorteil, dass die Daten der Strukturanalyse für die Dokumentation des Grundschutz-Checks konsistent übernommen werden.
* Überprüfungen vor Ort
* Begehung von Serverräumen
* Kontrolle von Konfigurationseinstellungen


Sowohl die Formulare in den Hilfsmitteln zum Grundschutz als auch die Masken in den Grundschutz-Werkzeugen bieten Felder an, in die Sie Angaben zur Umsetzung der als fehlend erkannten Maßnahmen eintragen können (Umsetzungsfristen, Verantwortliche, voraussichtliche Kosten).
; Qualität der Ergebnisse
* Diese Angaben sind für die Realisierungsplanung wichtig.
Die Qualität der Ergebnisse der Interviews und Begehungen hängt auch von einer guten Vorbereitung und der Beachtung einiger Regeln bei der Durchführung ab
* Beim Grundschutz-Check ist es noch nicht erforderlich, diese Felder auszufüllen.


== Entscheidungskriterien ==
; Aktuelles Grundschutz-Kompendium
Als Beispiel für den Entscheidungsprozess zur Bewertung des Status einer Anforderung sollen nachfolgend einige Anforderungen aus dem Prozess-Baustein ''[[ISMS.1 Sicherheitsmanagement]]'' und dem System-Baustein ''[[SYS.2.1 Allgemeiner Client]]'' dienen.
* Dort wird der Stand der Technik entsprechende Sicherheit beschrieben
* Die Informationstechnik ändert sich kontinuierlich, sodass regelmäßig geprüft werden muss, ob die eingeführten Sicherheitsmaßnahmen noch einen angemessenen Schutz bieten
* Das Grundschutz-Kompendium wird fortlaufend angepasst und um neue Bausteine ergänzt


=== Bewertung als „vollständig umgesetzt“ ===
; Sichten der Dokumente
Der Baustein.1 enthält unter anderem die Basis-Anforderung.A1: ''Übernahme der Gesamtverantwortung für Informationssicherheit durch die Leitungsebene'' mit insgesamt sechs durch das Verb MUSS als verpflichtend gekennzeichneten Teilanforderungen
* Die vorhandenen '''Dokumente''' über sicherheitsrelevante Abläufe, Regelungen und Sachverhalte enthalten bereits viele Informationen, die Ihnen bei der Ermittlung des Erfüllungsgrads der Anforderungen helfen können
* Sichten Sie diese Papiere daher bereits vorab


''„Die Leitungsebene MUSS die Gesamtverantwortung für Informationssicherheit in der Institution übernehmen, sodass dies für alle Beteiligten deutlich erkennbar ist.
; Ansprechpartner auswählen
* Die Leitungsebene der Institution MUSS den Sicherheitsprozess initiieren, steuern und kontrollieren.
* Wählen Sie '''geeignete Ansprechpartner''' aus
* Die Leitungsebene MUSS Informationssicherheit vorleben.''
* Klären Sie in diesem Zusammenhang auch, ob externe Stellen hinzuzuziehen sind, Fremdfirmen, an die Teilaufgaben des Informationsverbundes delegiert wurden


''Die Behörden- bzw. Unternehmensleitung MUSS die Zuständigkeiten für Informationssicherheit festlegen und die zuständigen Mitarbeiter mit den erforderlichen Kompetenzen und Ressourcen ausstatten.
Ansprechpartner ergeben sich direkt aus den im genannten Rollen sowie oft aus dem sachlichen Zusammenhang
* Die Leitungsebene MUSS sich regelmäßig über den Status der Informationssicherheit informieren lassen, insbesondere MUSS sie sich über mögliche Risiken und Konsequenzen aufgrund fehlender Sicherheitsmaßnahmen informieren lassen.“''
* So können Mitarbeiter der Personalabteilung oder Benutzerbetreuer gute Ansprechpartner für den Baustein ''Personal'' sein
* Während es sich anbietet, für die Systembausteine zu Netzen, -Systemen oder Anwendungen die jeweils zuständigen Administratoren und Anwendungsbetreuer zu befragen


=== Bewertung als „entbehrlich“ ===
=== Durchführung ===
Unter Umständen, etwa bei unzureichendem Know-how innerhalb einer Institution, kann es sich für eine Institution anbieten, Sicherheitsaufgaben an einen externen Informationssicherheitsbeauftragten zu delegieren.
; Arbeitsteilung
* Dies enthebt sie allerdings nicht ihrer grundsätzlichen Verantwortung für Informationssicherheit.
Vier Augen und Ohren sehen und hören mehr als zwei
* Rechte und Pflichten des externen sind daher vorab festzulegen und vertraglich zu fixieren.
* Führen Sie die Interviews nach Möglichkeit daher '''nicht alleine''' durch
* In.1.A5 ''Vertragsgestaltung bei Bestellung eines externen Informationssicherheitsbeauftragten'' wird diese Basis-Anforderung näher spezifiziert.
* Es empfiehlt sich eine Arbeitsteilung: Einer führt das Gespräch und stellt die Fragen, ein anderer protokolliert die Ergebnisse
* Wird die Rolle des durch einen eigenen Mitarbeiter wahrgenommen, ist die Erfüllung dieser Anforderung selbstverständlich entbehrlich.
* Selbstverständlich sollten Sie bei der Befragung den Inhalt der Anforderungsbeschreibungen sowie die zugehörigen Umsetzungsempfehlungen kennen
* Gegebenenfalls können stichpunktartige '''Zusammenfassungen''' zu einzelnen Anforderungen sowie möglichen Maßnahmen, mit denen sie erfüllt werden können, nützlich sein


=== Bewertung als „teilweise erfüllt“ ===
; Chancen nutzen
Der Baustein SYS.2.1 ''Allgemeiner Client,'' dessen Anwendung für jede Gruppe von Clients in einem Informationsverbund verbindlich ist, enthält unter anderem die Basis-Anforderung SYS.2.1.A2: ''Rollentrennung'' mit Vorgaben für die Beschränkung der Benutzerrechte.
Der Grundschutz-Check ist eine Chance, die Informationssicherheit zu verbessern, kein Verhör
* Sorgen Sie für ein '''entspanntes Klima''', sowohl beim Gespräch als auch bei Begehungen und Überprüfungen vor Ort


Sie lautet wie folgt
=== Dokumentation ===
; Umsetzungsgrad
Erfüllungsgrad der Grundschutz-Anforderungen dokumentieren


''„Der Client MUSS so eingerichtet werden, dass normale Tätigkeiten nicht mit Administrationsrechten erfolgen.
{| class="wikitable options"
* Nur Administratoren DÜRFEN Administrationsrechte erhalten.
|-
* Es DÜRFEN nur Administratoren die Systemkonfiguration ändern, Anwendungen installieren bzw. entfernen oder Systemdateien modifizieren bzw. löschen können.
! Umsetzungsgrad !! Beschreibung
* Benutzer DÜRFEN ausschließlich lesenden Zugriff auf Systemdateien haben.''
|-
| [[#Vollständig|Vollständig]] || Alle (Teil)-Anforderung durch geeignete Maßnahmen vollständig, wirksam, angemessen erfüllt
|-
| [[#Entbehrlich|Entbehrlich]] || Erfüllung einer Anforderung nicht notwendig
|-
| [[#Teilweise|Teilweise]] || Anforderung wird teilweise erfüllt
|-
| [[#Nicht erfüllt|Nicht]] || Anforderung ist nicht erfüllt wird, geeignete Maßnahmen wurden größtenteils nicht umgesetzt
|}


''Ablauf, Rahmenbedingungen und Anforderungen an administrative Aufgaben sowie die Aufgabentrennungen zwischen den verschiedenen Rollen der Benutzer des IT-Systems SOLLTEN in einem Benutzer- und Administrationskonzept festgeschrieben werden.“''
; Entbehrlich
Wird die Erfüllung einer Anforderung auf „entbehrlich“ gesetzt, weil Alternativmaßnahmen ergriffen wurden, muss nachgewiesen werden, dass diese Maßnahmen die bestehenden Risiken angemessen minimieren
* Identifizieren Sie hierfür über die Kreuzreferenztabelle des jeweiligen Bausteins die zugehörigen elementaren Gefährdungen
* Wurden Alternativmaßnahmen ergriffen, begründen Sie, dass diese das von den relevanten Gefährdungen ausgehende Risiko angemessen verringern


Wird bei der Überprüfung der Umsetzung dieser Anforderung für eine gegebene Gruppe von Clients festgestellt, dass die Systeme so eingerichtet sind, dass übliche Benutzeraktivitäten nur mit entsprechend eingeschränkten Rechten ausgeübt werden und Systemzugriffe Administratoren vorbehalten sind, so ist zumindest ein Teil der Anforderung erfüllt.
Generell gilt, dass Risiken aufgrund der Nichterfüllung von Basis-Anforderungen nicht übernommen werden können
* Das Fehlen eines expliziten Benutzer- und Administrationskonzepts, ohne dass hierfür ein stichhaltiger Grund vorliegt, führt jedoch zu der Einstufung, dass diese Anforderung nur teilweise erfüllt ist.
* Anforderungen dürfen darüber hinaus nicht quasi automatisch durch pauschale Akzeptanz oder pauschalen Ausschluss einer elementaren Gefährdung als „entbehrlich“ eingestuft werden


=== Bewertung als „nicht erfüllt“ ===
Da den möglichen Gefährdungen mit mindestens gleichwertigen Ersatzmaßnahmen entgegengewirkt wird ( erübrigen sich Passwortregeln, wenn Chipkarten zusätzlich für die Authentisierung eingesetzt werden) oder wenn die Empfehlungen für den betrachteten Einsatzzweck nicht relevant sind (so ist die Anforderung zur Absicherung von Fernwartung nur dann bedeutsam, wenn tatsächlich auch Systeme von entfernten Standorten aus gewartet werden)
Die Anforderung SYS.2.1.A2: ''Rollentrennung ''des Bausteins SYS.2.1 ''Allgemeiner Client'' wäre hingegen nicht erfüllt, wenn zwar ein solches Konzept vorliegt, dieses aber die Vorgaben dieser Basis-Anforderung nur bedingt widerspiegelt, und insbesondere die geprüften Clients deutliche Abweichungen von den verpflichtenden Anforderungen aufweisen.


Es kann Gründe dafür geben, dass einzelne Systeme auch von Benutzern, die ansonsten keine derartigen Berechtigungen haben, mit Administrationsrechten benutzt werden können, beispielsweise weil eine benötigte Spezialsoftware ansonsten nicht funktionieren würde.
==== Nachvollziehbarkeit ====
* In diesem Fall müsste das aus der Nichterfüllung dieser Basis-Anforderung resultierende Risiko mit zusätzlichen Maßnahmen begrenzt werden.
Damit die Ergebnisse des Grundschutz-Checks später und auch von Dritten nachvollzogen und überprüft werden können, ist es wichtig, dass Sie diese sorgfältig dokumentieren


== Beispiel ==
; Begründungen
Als Beispiel für die Dokumentation des Grundschutz-Checks zeigt der folgende Auszug dieser Überprüfung für die RECPLAST die Ergebnisse für drei Basis-Anforderungen und eine Standard-Anforderung des Bausteins ''[[ISMS.1 Sicherheitsmanagement]]''.
* Vergessen Sie nicht, bei Anforderungen, die Sie als entbehrlich, nur teilweise oder überhaupt nicht erfüllt eingestuft haben, in der Dokumentation Ihre '''Begründung''' hierfür anzugeben
* Dieser Baustein ist für den gesamten Informationsverbund anzuwenden, im Beispiel also für das gesamte Unternehmen.


Eine ausführliche Dokumentation des Grundschutz-Checks zu diesem Baustein und zu weiteren ausgewählten Bausteinen finden Sie in Kapitel 6 des Beispieldokuments.
; Formale Angaben
; Bei jedem Interview angeben
* Zielobjekt
* Datum
* Wer es durchgeführt hat
* Wer befragt wurde


Dokumentation des Grundschutz-Checks
=== Hilfsmittel ===
==== Checklisten ====
Dokumentation mit Checklisten


{| class="wikitable sortable options"
==== Tool-Unterstützung ====
|-
Der Grundschutz-Check wird auch durch eine Reihe an Tools unterstützt, die auf die Grundschutz-Methodik zugeschnitten sind
! | Anforderung (Verantwortung)
* Bei Verwendung eines solchen Werkzeugs haben Sie den zusätzlichen Vorteil, dass die Daten der Strukturanalyse für die Dokumentation des Grundschutz-Checks konsistent übernommen werden
! | Status
! | Umsetzung
|-
||.1.A1: ''Übernahme der Gesamtverantwortung für Informationssicherheit durch die Leitungsebene''(Institutionsleitung)
|| erfüllt
|| Die Geschäftsführung hat die Erstellung der Leitlinie initiiert.
* Die Leitlinie wurde von der Geschäftsführung unterzeichnet.
* Die Geschäftsführung hat die gesamte Verantwortung für das Thema Informationssicherheit übernommen und delegiert an den die Umsetzung der geforderten Maßnahmen.
* Einmal monatlich erhält die Geschäftsführung einen Management-Report, kontrolliert den Umsetzungsstand der Maßnahmen, initiiert bei Bedarf weitere Maßnahmen und bewilligt das entsprechende Budget.
|-
||.1.A5 ''Vertragsgestaltung bei Bestellung eines externen Informationssicherheitsbeauftragten''(Institutionsleitung)
|| entbehrlich
|| Der Informationssicherheitsbeauftragte ist ein Mitarbeiter der RECPLAST.
|-
||.1.A7 ''Festlegung von Sicherheitsmaßnahmen''()
|| teilweise
|| Alle Mitarbeiter, die Maßnahmen im Sinne der Informationssicherheit umsetzen, sind verpflichtet, diese zu dokumentieren und dem per E-Mail zuzusenden.
* Eine Auswertung und ausreichende Dokumentation der umgesetzten Maßnahmen gibt es nicht.


Umsetzungszeitpunkt für ausführliche Dokumentation: 30.04.
Sowohl die Formulare in den Hilfsmitteln zum Grundschutz als auch die Masken in den Grundschutz-Werkzeugen bieten Felder an, in die Sie Angaben zur Umsetzung der als fehlend erkannten Maßnahmen eintragen können (Umsetzungsfristen, Verantwortliche, voraussichtliche Kosten)
|-
* Diese Angaben sind für die Realisierungsplanung wichtig
||.1.A11 ''Aufrechterhaltung der Informationssicherheit''()
* Beim Grundschutz-Check ist es noch nicht erforderlich, diese Felder auszufüllen
|| erfüllt
|| Alle Dokumente und Prozesse werden einmal jährlich einem internen Audit unterzogen.
* Der hat dafür die entsprechende fachliche Weisungsbefugnis für die Mitarbeiter, in deren Verantwortungsbereich einzelne Dokumente und Prozesse fallen.
|-
|}


<noinclude>
<noinclude>
== Anhang ==
== Anhang ==
=== Siehe auch ===
=== Siehe auch ===
{{Special:PrefixIndex/Grundschutz-Check}}
{{Special:PrefixIndex/IT-Grundschutz/Grundschutz-Check}}


==== Sicherheit ====
==== Dokumentation ====
==== Dokumentation ====
==== Links ====
==== Links ====
===== Einzelnachweise =====
<references />
===== Projekt =====
===== Weblinks =====
===== Weblinks =====


=== Testfragen ===
[[Kategorie:IT-Grundschutz/Grundschutz-Check]]
<div class="toccolours mw-collapsible mw-collapsed">
; 1. Welche Aussagen zum Grundschutz-Check sind zutreffend?
A Ein Grundschutz-Check ermöglicht, Defizite bei der Erfüllung von Sicherheitsanforderungen zu ermitteln.
B Bei einem Grundschutz-Check wird lediglich die Erfüllung der Basis-Anforderungen geprüft.
C Ein Grundschutz-Check dient dazu, Sicherheitsprobleme zu identifizieren, die in einer Risikoanalyse genauer untersucht werden müssen.
D Ein Grundschutz-Check ist ein Soll-Ist-Vergleich zwischen Sicherheitsanforderungen und tatsächlich umgesetzten Sicherheitsmaßnahmen.
<div class="mw-collapsible-content">
'''Antworten A und D sind richtig'''
</div>
</div>
 
<div class="toccolours mw-collapsible mw-collapsed">
;2. Welche Vorarbeiten erfordert der Grundschutz-Check?
A die Festlegung eines Zeitplans
B die Auswahl von geeigneten Gesprächspartnern
C einen Penetrationstest, um Schwachstellen zu identifizieren, die mit den ausgewählten Gesprächspartnern erörtert werden
D die Zusammenstellung und Lektüre der vorhandenen Dokumente zur Informationssicherheit in dem betrachteten Informationsverbund
<div class="mw-collapsible-content">
'''Antworten A, B und D sind richtig'''
</div>
</div>
 
<div class="toccolours mw-collapsible mw-collapsed">
;3. Welche Verfahren verwenden Sie, um in einem Grundschutz-Check zu prüfen, wie gut eine Gruppe von Clients geschützt ist?
A Sie führen Interviews mit den zuständigen Systembetreuern.
B Sie versuchen in einem Penetrationstest, Schwachstellen dieser -Systeme zu ermitteln, und beziehen dabei sämtliche zur Gruppe gehörenden Clients ein.
C Sie untersuchen stichprobenartig vor Ort, wie die Clients konfiguriert sind.
D Sie lesen die vorhandene Dokumentation zur Konfiguration der Clients.
<div class="mw-collapsible-content">
'''Antworten A, C und D sind richtig'''
</div>
</div>
 
<div class="toccolours mw-collapsible mw-collapsed">
;4. Wann bewerten Sie beim Grundschutz-Check eine Anforderung eines Grundschutz-Bausteins als erfüllt?
A wenn zu der Anforderung geeignete Maßnahmen vollständig, wirksam und angemessen umgesetzt sind
B wenn der Gesprächspartner Ihnen glaubhaft versichert hat, dass es bislang zu keinen Sicherheitsproblemen auf dem betreffenden -System gekommen ist
C wenn es eine umfangreiche Dokumentation zu den Schutzvorkehrungen für das betreffende -System gibt
D wenn sowohl im Interview mit einem für das -System Zuständigen als auch bei einer stichprobenartigen Überprüfung keine Sicherheitsmängel festgestellt wurden
<div class="mw-collapsible-content">
'''Antworten A, D sind richtig'''
</div>
</div>
 
<div class="toccolours mw-collapsible mw-collapsed">
;5. Wie verfahren Sie beim ersten Grundschutz-Check, also vor der Durchführung von Risikoanalysen, mit Anforderungen für den erhöhten Schutzbedarf?
A Sie stufen diese Anforderungen grundsätzlich als entbehrlich ein und verzichten auch dann darauf, diese zu überprüfen, wenn sie in Ihrer Einrichtung umgesetzt sind.
B Sie streichen die Anforderungen aus Ihrem Sollkonzept.
C Sie betrachten Anforderungen für den hohen und sehr hohen Schutzbedarf erst nach Abschluss der Risikoanalyse.
D Sie betrachten im Grundschutz-Check grundsätzlich alle in den Grundschutz-Bausteinen genannten Anforderungen, folglich auch diejenigen für den erhöhten Schutzbedarf.
<div class="mw-collapsible-content">
'''Antwort C ist richtig'''
</div>
</div>
 
<div class="toccolours mw-collapsible mw-collapsed">
;6. Sie stellen fest, dass eine Standard-Anforderung für ein -System nicht umgesetzt ist, das nur noch kurze Zeit in Betrieb ist. Wie behandeln Sie diese Anforderung beim Grundschutz-Check?
A Sie streichen die Anforderung aus dem Grundschutz-Modell.
B Sie dokumentieren diese als entbehrlich, da ihre Umsetzung nicht mehr wirtschaftlich ist.
C Sie dokumentieren diese als nicht erfüllt, und merken gegebenenfalls an, dass geprüft werden muss, ob Maßnahmen zur Behebung dieses Defizits angesichts der kurzen Einsatzzeit des -Systems noch angemessen sind.
D Sie dokumentieren diese als nicht erfüllt und merken an, dass geprüft werden muss, ob die daraus resultierenden Risiken in der Restlaufzeit des -Systems noch tragbar sind.
<div class="mw-collapsible-content">
'''Antworten C und D sind richtig'''
</div>
</div>


[[Kategorie:Grundschutz/Grundschutz-Check]]
</noinclude>
</noinclude>

Aktuelle Version vom 31. Oktober 2024, 13:38 Uhr

Grundschutz-Check - Soll-Ist-Vergleich zwischen geforderten und erfüllten Anforderungen

Beschreibung

Motivation

Sind Informationen und Informationstechnik hinreichend geschützt?

  • Was bleibt zu tun?
Soll-Ist-Vergleich
  • Anforderungen mit den umgesetzten Sicherheitsmaßnahmen
  • Informationsverbund oder Komponente
  • Umgesetzte Sicherheitsmaßnahmen mit den Anforderungen des entwickelten Grundschutz-Modells vergleichen
  • Bestehendes Sicherheitsniveau identifizieren
  • Verbesserungsmöglichkeiten aufzeigen
Grundschutz-Modell

Grundlage des Grundschutz-Checks

  • ist das in der Modellierung aufgrund der vorhandenen Zielobjekte und ihres Schutzbedarfs zusammengestellte Grundschutz-Modell des Informationsverbundes
  • In diesem Modell ist festgelegt, welche Bausteine und damit Anforderungsbündel für die einzelnen Zielobjekte des Informationsverbundes anzuwenden sind
Anforderungen
  • Basisanforderungen
  • Standardanforderungen
  • Anforderungen für den erhöhten Schutzbedarf
Vorgehensweise

Welche dieser Anforderungen Sie im Grundschutz-Check berücksichtigen, hängt von der Vorgehensweise der IT-Grundschutz-Methodik ab

  • Bei der Vorgehensweise Basis-Absicherung prüfen Sie lediglich die Erfüllung der Basis-Anforderungen
  • Bei den Vorgehensweisen Standard-Absicherung und Kern-Absicherung berücksichtigen Sie zusätzlich die Standard-Anforderungen
  • Die Anforderungen für den erhöhten Schutzbedarf haben Beispielcharakter und können im Bedarfsfall durch andere Maßnahmen mit starker Schutzwirkung ersetzt oder ergänzt werden
  • Sie prüfen diese Anforderungen also nur dann, wenn sie als Ergebnis einer Risikoanalyse in das Grundschutz-Modell aufgenommen wurden, also Bestandteil des Sicherheitskonzepts geworden sind
  • siehe Risikoanalyse
Anforderungen

Basis für den IT-Grundschutz-Check sind die Anforderungen aus dem IT-Grundschutz/Kompendium

  • Aus der Strukturanalyse und der anschließenden Modellierung geht ein Modell des Informationsverbundes hervor, das alle relevanten Objekte mit den zugehörigen Bausteinen des IT-Grundschutz/Kompendiums enthält
  • Aufgrund der nun vorliegenden Bausteine wird für jedes Objekt ermittelt, wie hoch der Erfüllungsgrad der in den Bausteinen enthaltenen Anforderungen ist
  • Dies geschieht großenteils durch Interviews mit den Verantwortlichen der jeweiligen Bereiche
Überblick über das vorhandene IT-Sicherheitsniveau

Der IT-Grundschutz-Check ist somit ein Organisationsinstrument, welches einen gebündelten Überblick über das vorhandene IT-Sicherheitsniveau bietet

  • Als Ergebnis liegt ein Katalog vor, in dem für jede relevante Anforderung der Umsetzungsstatus „entbehrlich“, „ja“, „teilweise“ oder „nein“ erfasst ist
  • Durch die Identifizierung von nicht oder nur teilweise umgesetzten Maßnahmen werden Verbesserungsmöglichkeiten für die Sicherheit der betrachteten Informationstechnik aufgezeigt
Soll/Ist-Abgleich

Der IT-Grundschutz-Check gibt Auskunft über die noch fehlenden Maßnahmen (Soll/Ist-Abgleich)

  • Daraus folgt, was noch zu tun ist, um das angestrebte Maß an Sicherheit zu erlangen
  • Die Grundschutz-Methodik unterscheidet hier die Basis-, Standard- oder Kern-Absicherung
  • Die Anforderungen des Kompendiums sind für die jeweilige Absicherungsmethode gekennzeichnet (Basis, Standard und für erhöhten Schutzbedarf)
Hoher/sehr hoher Schutzbedarf

Für Systeme mit hohem/sehr hohem Schutzbedarf werden mitunter auch auf einer Risikoanalyse basierende [[Informationssicherheits-Konzepte wie nach ISO/IEC 27001 angewandt

Vorarbeiten
Arbeitsschritt Beschreibung
IT-Grundschutz/Strukturanalyse Ermittlung der relevanten Zielobjekte des Informationsverbundes
IT-Grundschutz/Schutzbedarfsfeststellung Festlegung des Schutzbedarfs für die ermittelten Zielobjekte
IT-Grundschutz/Modellierung Anwendung der Grundschutz-Bausteine auf die Zielobjekte

Damit wurde ein Prüfplan („Grundschutz-Modell“) für den Informationsverbund und dessen Zielobjekte zusammengestellt

Prüfplan anwenden (Grundschutz-Check)

Je Zielobjekt prüfen

  • inwieweit relevante Anforderungen erfüllt sind
  • durch technische oder organisatorische Maßnahmen

Vorgehen

Schritt Bezeichnung Beschreibung
1 Vorbereitungen
2 Durchführung
3 Dokumentation

Vorbereitung

Umsetzungsgrad ermitteln und dokumentieren

Umsetzungsgrad einzelner Maßnahmen für das jeweilige Zielobjekt ermitteln und dokumentieren

  • Interview der zuständigen Mitarbeiter
  • Überprüfungen vor Ort
  • Begehung von Serverräumen
  • Kontrolle von Konfigurationseinstellungen
Qualität der Ergebnisse

Die Qualität der Ergebnisse der Interviews und Begehungen hängt auch von einer guten Vorbereitung und der Beachtung einiger Regeln bei der Durchführung ab

Aktuelles Grundschutz-Kompendium
  • Dort wird der Stand der Technik entsprechende Sicherheit beschrieben
  • Die Informationstechnik ändert sich kontinuierlich, sodass regelmäßig geprüft werden muss, ob die eingeführten Sicherheitsmaßnahmen noch einen angemessenen Schutz bieten
  • Das Grundschutz-Kompendium wird fortlaufend angepasst und um neue Bausteine ergänzt
Sichten der Dokumente
  • Die vorhandenen Dokumente über sicherheitsrelevante Abläufe, Regelungen und Sachverhalte enthalten bereits viele Informationen, die Ihnen bei der Ermittlung des Erfüllungsgrads der Anforderungen helfen können
  • Sichten Sie diese Papiere daher bereits vorab
Ansprechpartner auswählen
  • Wählen Sie geeignete Ansprechpartner aus
  • Klären Sie in diesem Zusammenhang auch, ob externe Stellen hinzuzuziehen sind, Fremdfirmen, an die Teilaufgaben des Informationsverbundes delegiert wurden

Ansprechpartner ergeben sich direkt aus den im genannten Rollen sowie oft aus dem sachlichen Zusammenhang

  • So können Mitarbeiter der Personalabteilung oder Benutzerbetreuer gute Ansprechpartner für den Baustein Personal sein
  • Während es sich anbietet, für die Systembausteine zu Netzen, -Systemen oder Anwendungen die jeweils zuständigen Administratoren und Anwendungsbetreuer zu befragen

Durchführung

Arbeitsteilung

Vier Augen und Ohren sehen und hören mehr als zwei

  • Führen Sie die Interviews nach Möglichkeit daher nicht alleine durch
  • Es empfiehlt sich eine Arbeitsteilung: Einer führt das Gespräch und stellt die Fragen, ein anderer protokolliert die Ergebnisse
  • Selbstverständlich sollten Sie bei der Befragung den Inhalt der Anforderungsbeschreibungen sowie die zugehörigen Umsetzungsempfehlungen kennen
  • Gegebenenfalls können stichpunktartige Zusammenfassungen zu einzelnen Anforderungen sowie möglichen Maßnahmen, mit denen sie erfüllt werden können, nützlich sein
Chancen nutzen

Der Grundschutz-Check ist eine Chance, die Informationssicherheit zu verbessern, kein Verhör

  • Sorgen Sie für ein entspanntes Klima, sowohl beim Gespräch als auch bei Begehungen und Überprüfungen vor Ort

Dokumentation

Umsetzungsgrad

Erfüllungsgrad der Grundschutz-Anforderungen dokumentieren

Umsetzungsgrad Beschreibung
Vollständig Alle (Teil)-Anforderung durch geeignete Maßnahmen vollständig, wirksam, angemessen erfüllt
Entbehrlich Erfüllung einer Anforderung nicht notwendig
Teilweise Anforderung wird teilweise erfüllt
Nicht Anforderung ist nicht erfüllt wird, geeignete Maßnahmen wurden größtenteils nicht umgesetzt
Entbehrlich

Wird die Erfüllung einer Anforderung auf „entbehrlich“ gesetzt, weil Alternativmaßnahmen ergriffen wurden, muss nachgewiesen werden, dass diese Maßnahmen die bestehenden Risiken angemessen minimieren

  • Identifizieren Sie hierfür über die Kreuzreferenztabelle des jeweiligen Bausteins die zugehörigen elementaren Gefährdungen
  • Wurden Alternativmaßnahmen ergriffen, begründen Sie, dass diese das von den relevanten Gefährdungen ausgehende Risiko angemessen verringern

Generell gilt, dass Risiken aufgrund der Nichterfüllung von Basis-Anforderungen nicht übernommen werden können

  • Anforderungen dürfen darüber hinaus nicht quasi automatisch durch pauschale Akzeptanz oder pauschalen Ausschluss einer elementaren Gefährdung als „entbehrlich“ eingestuft werden

Da den möglichen Gefährdungen mit mindestens gleichwertigen Ersatzmaßnahmen entgegengewirkt wird ( erübrigen sich Passwortregeln, wenn Chipkarten zusätzlich für die Authentisierung eingesetzt werden) oder wenn die Empfehlungen für den betrachteten Einsatzzweck nicht relevant sind (so ist die Anforderung zur Absicherung von Fernwartung nur dann bedeutsam, wenn tatsächlich auch Systeme von entfernten Standorten aus gewartet werden)

Nachvollziehbarkeit

Damit die Ergebnisse des Grundschutz-Checks später und auch von Dritten nachvollzogen und überprüft werden können, ist es wichtig, dass Sie diese sorgfältig dokumentieren

Begründungen
  • Vergessen Sie nicht, bei Anforderungen, die Sie als entbehrlich, nur teilweise oder überhaupt nicht erfüllt eingestuft haben, in der Dokumentation Ihre Begründung hierfür anzugeben
Formale Angaben
Bei jedem Interview angeben
  • Zielobjekt
  • Datum
  • Wer es durchgeführt hat
  • Wer befragt wurde

Hilfsmittel

Checklisten

Dokumentation mit Checklisten

Tool-Unterstützung

Der Grundschutz-Check wird auch durch eine Reihe an Tools unterstützt, die auf die Grundschutz-Methodik zugeschnitten sind

  • Bei Verwendung eines solchen Werkzeugs haben Sie den zusätzlichen Vorteil, dass die Daten der Strukturanalyse für die Dokumentation des Grundschutz-Checks konsistent übernommen werden

Sowohl die Formulare in den Hilfsmitteln zum Grundschutz als auch die Masken in den Grundschutz-Werkzeugen bieten Felder an, in die Sie Angaben zur Umsetzung der als fehlend erkannten Maßnahmen eintragen können (Umsetzungsfristen, Verantwortliche, voraussichtliche Kosten)

  • Diese Angaben sind für die Realisierungsplanung wichtig
  • Beim Grundschutz-Check ist es noch nicht erforderlich, diese Felder auszufüllen


Anhang

Siehe auch

Dokumentation

Links

Weblinks