IT-Grundschutz/Grundschutz-Check: Unterschied zwischen den Versionen
K Dirkwagner verschob die Seite IT-Grundschutz/Grundschutz-Check nach Grundschutz/Grundschutz-Check, ohne dabei eine Weiterleitung anzulegen |
K Textersetzung - „[[Grundschutz“ durch „[[IT-Grundschutz“ |
||
(45 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
Zeile 2: | Zeile 2: | ||
== Beschreibung == | == Beschreibung == | ||
; Motivation | |||
Sind Informationen und Informationstechnik hinreichend geschützt? | |||
* Was bleibt zu tun? | |||
; Soll-Ist-Vergleich | ; Soll-Ist-Vergleich | ||
* Anforderungen mit den umgesetzten Sicherheitsmaßnahmen | |||
* Informationsverbund oder Komponente | |||
* Umgesetzte Sicherheitsmaßnahmen mit den Anforderungen des entwickelten Grundschutz-Modells vergleichen | * Umgesetzte Sicherheitsmaßnahmen mit den Anforderungen des entwickelten Grundschutz-Modells vergleichen | ||
* | * Bestehendes Sicherheitsniveau identifizieren | ||
* Verbesserungsmöglichkeiten aufzeigen | * Verbesserungsmöglichkeiten aufzeigen | ||
; | ; Grundschutz-Modell | ||
Grundlage des Grundschutz-Checks | |||
* ist das in der Modellierung aufgrund der vorhandenen Zielobjekte und ihres Schutzbedarfs zusammengestellte '''Grundschutz-Modell''' des Informationsverbundes | |||
* In diesem Modell ist festgelegt, welche Bausteine und damit Anforderungsbündel für die einzelnen Zielobjekte des Informationsverbundes anzuwenden sind | |||
Grundlage des Grundschutz-Checks ist das in der Modellierung aufgrund der vorhandenen Zielobjekte und ihres Schutzbedarfs zusammengestellte '''Grundschutz-Modell''' des Informationsverbundes | |||
* In diesem Modell ist festgelegt, welche Bausteine und damit Anforderungsbündel für die einzelnen Zielobjekte des Informationsverbundes anzuwenden sind | |||
; Anforderungen | ; Anforderungen | ||
Zeile 21: | Zeile 24: | ||
; Vorgehensweise | ; Vorgehensweise | ||
Welche dieser Anforderungen Sie im Grundschutz-Check berücksichtigen, hängt von der Vorgehensweise der IT-Grundschutz-Methodik ab | Welche dieser Anforderungen Sie im Grundschutz-Check berücksichtigen, hängt von der Vorgehensweise der IT-Grundschutz-Methodik ab | ||
* Bei der Vorgehensweise Basis-Absicherung prüfen Sie lediglich die Erfüllung der Basis-Anforderungen | * Bei der Vorgehensweise Basis-Absicherung prüfen Sie lediglich die Erfüllung der Basis-Anforderungen | ||
* Bei den Vorgehensweisen Standard-Absicherung und Kern-Absicherung berücksichtigen Sie zusätzlich die Standard-Anforderungen | * Bei den Vorgehensweisen Standard-Absicherung und Kern-Absicherung berücksichtigen Sie zusätzlich die Standard-Anforderungen | ||
* Die Anforderungen für den erhöhten Schutzbedarf haben Beispielcharakter und können im Bedarfsfall durch andere Maßnahmen mit starker Schutzwirkung ersetzt oder ergänzt werden | * Die Anforderungen für den erhöhten Schutzbedarf haben Beispielcharakter und können im Bedarfsfall durch andere Maßnahmen mit starker Schutzwirkung ersetzt oder ergänzt werden | ||
* Sie prüfen diese Anforderungen also nur dann, wenn sie als Ergebnis einer Risikoanalyse in das Grundschutz-Modell aufgenommen wurden, also Bestandteil des Sicherheitskonzepts geworden sind | * Sie prüfen diese Anforderungen also nur dann, wenn sie als Ergebnis einer Risikoanalyse in das Grundschutz-Modell aufgenommen wurden, also Bestandteil des Sicherheitskonzepts geworden sind | ||
* siehe [[Risikoanalyse]] | * siehe [[Risikoanalyse]] | ||
; Basis für den IT-Grundschutz-Check sind die Anforderungen aus dem IT-Grundschutz | ; Anforderungen | ||
* Aus der Strukturanalyse und der anschließenden Modellierung geht ein Modell des Informationsverbundes hervor, das alle relevanten Objekte mit den zugehörigen Bausteinen des IT-Grundschutz | Basis für den IT-Grundschutz-Check sind die Anforderungen aus dem IT-Grundschutz/Kompendium | ||
* Aufgrund der nun vorliegenden Bausteine wird für jedes Objekt ermittelt, wie hoch der Erfüllungsgrad der in den Bausteinen enthaltenen Anforderungen ist | * Aus der Strukturanalyse und der anschließenden Modellierung geht ein Modell des Informationsverbundes hervor, das alle relevanten Objekte mit den zugehörigen Bausteinen des IT-Grundschutz/Kompendiums enthält | ||
* Dies geschieht großenteils durch Interviews mit den Verantwortlichen der jeweiligen Bereiche | * Aufgrund der nun vorliegenden Bausteine wird für jedes Objekt ermittelt, wie hoch der Erfüllungsgrad der in den Bausteinen enthaltenen Anforderungen ist | ||
* Dies geschieht großenteils durch Interviews mit den Verantwortlichen der jeweiligen Bereiche | |||
; Der IT-Grundschutz-Check ist somit ein Organisationsinstrument, welches einen gebündelten Überblick über das vorhandene IT-Sicherheitsniveau bietet | ; Überblick über das vorhandene IT-Sicherheitsniveau | ||
* Als Ergebnis liegt ein Katalog vor, in dem für jede relevante Anforderung der Umsetzungsstatus „entbehrlich“, „ja“, „teilweise“ oder „nein“ erfasst ist | Der IT-Grundschutz-Check ist somit ein Organisationsinstrument, welches einen gebündelten Überblick über das vorhandene IT-Sicherheitsniveau bietet | ||
* Durch die Identifizierung von nicht oder nur teilweise umgesetzten Maßnahmen werden Verbesserungsmöglichkeiten für die Sicherheit der betrachteten Informationstechnik aufgezeigt | * Als Ergebnis liegt ein Katalog vor, in dem für jede relevante Anforderung der Umsetzungsstatus „entbehrlich“, „ja“, „teilweise“ oder „nein“ erfasst ist | ||
* Durch die Identifizierung von nicht oder nur teilweise umgesetzten Maßnahmen werden Verbesserungsmöglichkeiten für die Sicherheit der betrachteten Informationstechnik aufgezeigt | |||
; Der IT-Grundschutz-Check gibt Auskunft über die noch fehlenden Maßnahmen (Soll/Ist-Abgleich) | ; Soll/Ist-Abgleich | ||
* Daraus folgt, was noch zu tun ist, um das angestrebte Maß an Sicherheit zu erlangen | Der IT-Grundschutz-Check gibt Auskunft über die noch fehlenden Maßnahmen (Soll/Ist-Abgleich) | ||
* Die Grundschutz-Methodik unterscheidet hier die Basis-, Standard- oder Kern-Absicherung | * Daraus folgt, was noch zu tun ist, um das angestrebte Maß an Sicherheit zu erlangen | ||
* Die Anforderungen des Kompendiums sind für die jeweilige Absicherungsmethode gekennzeichnet (Basis, Standard und für erhöhten Schutzbedarf) | * Die Grundschutz-Methodik unterscheidet hier die Basis-, Standard- oder Kern-Absicherung | ||
* Die Anforderungen des Kompendiums sind für die jeweilige Absicherungsmethode gekennzeichnet (Basis, Standard und für erhöhten Schutzbedarf) | |||
; Für Systeme mit hohem/sehr hohem Schutzbedarf werden mitunter auch auf einer [[Risikoanalyse]] basierende [[Informationssicherheits-Konzepte wie nach [[ISO/IEC 27001]] angewandt | ; Hoher/sehr hoher Schutzbedarf | ||
Für Systeme mit hohem/sehr hohem Schutzbedarf werden mitunter auch auf einer [[Risikoanalyse]] basierende [[Informationssicherheits-Konzepte wie nach [[ISO/IEC 27001]] angewandt | |||
; Vorarbeiten | |||
{| class="wikitable options" | {| class="wikitable options" | ||
|- | |- | ||
! Arbeitsschritt !! Beschreibung | ! Arbeitsschritt !! Beschreibung | ||
|- | |- | ||
| [[Grundschutz/Strukturanalyse]] || Ermittlung der relevanten Zielobjekte des Informationsverbundes | | [[IT-Grundschutz/Strukturanalyse]] || Ermittlung der relevanten Zielobjekte des Informationsverbundes | ||
|- | |- | ||
| [[Grundschutz/Schutzbedarf]]sfeststellung || Festlegung des Schutzbedarfs für die ermittelten Zielobjekte | | [[IT-Grundschutz/Schutzbedarf]]sfeststellung || Festlegung des Schutzbedarfs für die ermittelten Zielobjekte | ||
|- | |- | ||
| [[Grundschutz/Modellierung]] || Anwendung der Grundschutz-Bausteine auf die Zielobjekte | | [[IT-Grundschutz/Modellierung]] || Anwendung der Grundschutz-Bausteine auf die Zielobjekte | ||
|} | |} | ||
Damit wurde ein ''Prüfplan'' („Grundschutz-Modell“) für den Informationsverbund und dessen Zielobjekte zusammengestellt | Damit wurde ein ''Prüfplan'' („Grundschutz-Modell“) für den Informationsverbund und dessen Zielobjekte zusammengestellt | ||
; Prüfplan anwenden (Grundschutz-Check) | ; Prüfplan anwenden (Grundschutz-Check) | ||
Zeile 64: | Zeile 71: | ||
== Vorgehen == | == Vorgehen == | ||
{| class="wikitable options" | {| class="wikitable options big col1center" | ||
|- | |- | ||
! !! | ! Schritt !! Bezeichnung !! Beschreibung | ||
|- | |- | ||
| 1 || [[#Vorbereitungen|Vorbereitungen]] | | 1 || [[#Vorbereitungen|Vorbereitungen]] || | ||
|- | |- | ||
| 2 || [[#Durchführung|Durchführung]] | | 2 || [[#Durchführung|Durchführung]] || | ||
|- | |- | ||
| 3 || [[#Dokumentation|Dokumentation]] | | 3 || [[#Dokumentation|Dokumentation]] || | ||
|} | |} | ||
=== Vorbereitung === | === Vorbereitung === | ||
; Umsetzungsgrad ermitteln und dokumentieren | ; Umsetzungsgrad ermitteln und dokumentieren | ||
Umsetzungsgrad einzelner Maßnahmen für das jeweilige Zielobjekt ermitteln und dokumentieren | |||
* Interview der zuständigen Mitarbeiter | |||
* Überprüfungen vor Ort | |||
* Begehung von Serverräumen | |||
* Kontrolle von Konfigurationseinstellungen | |||
; Qualität der Ergebnisse | ; Qualität der Ergebnisse | ||
Die Qualität der Ergebnisse der Interviews und Begehungen hängt auch von einer guten Vorbereitung und der Beachtung einiger Regeln bei der Durchführung ab | Die Qualität der Ergebnisse der Interviews und Begehungen hängt auch von einer guten Vorbereitung und der Beachtung einiger Regeln bei der Durchführung ab | ||
; Kompendium | ; Aktuelles Grundschutz-Kompendium | ||
* Dort wird der Stand der Technik entsprechende Sicherheit beschrieben | |||
* Die Informationstechnik ändert sich kontinuierlich, sodass regelmäßig geprüft werden muss, ob die eingeführten Sicherheitsmaßnahmen noch einen angemessenen Schutz bieten | * Die Informationstechnik ändert sich kontinuierlich, sodass regelmäßig geprüft werden muss, ob die eingeführten Sicherheitsmaßnahmen noch einen angemessenen Schutz bieten | ||
* | * Das Grundschutz-Kompendium wird fortlaufend angepasst und um neue Bausteine ergänzt | ||
; Dokumente | ; Sichten der Dokumente | ||
* Die vorhandenen '''Dokumente''' über sicherheitsrelevante Abläufe, Regelungen und Sachverhalte enthalten bereits viele Informationen, die Ihnen bei der Ermittlung des Erfüllungsgrads der Anforderungen helfen können | * Die vorhandenen '''Dokumente''' über sicherheitsrelevante Abläufe, Regelungen und Sachverhalte enthalten bereits viele Informationen, die Ihnen bei der Ermittlung des Erfüllungsgrads der Anforderungen helfen können | ||
* Sichten Sie diese Papiere daher bereits vorab | * Sichten Sie diese Papiere daher bereits vorab | ||
; Ansprechpartner | ; Ansprechpartner auswählen | ||
* Wählen Sie '''geeignete Ansprechpartner''' aus | * Wählen Sie '''geeignete Ansprechpartner''' aus | ||
* Klären Sie in diesem Zusammenhang auch, ob externe Stellen hinzuzuziehen sind, Fremdfirmen, an die Teilaufgaben des Informationsverbundes delegiert wurden | * Klären Sie in diesem Zusammenhang auch, ob externe Stellen hinzuzuziehen sind, Fremdfirmen, an die Teilaufgaben des Informationsverbundes delegiert wurden | ||
Ansprechpartner ergeben sich direkt aus den im genannten Rollen sowie oft aus dem sachlichen Zusammenhang | Ansprechpartner ergeben sich direkt aus den im genannten Rollen sowie oft aus dem sachlichen Zusammenhang | ||
* So können Mitarbeiter der Personalabteilung oder Benutzerbetreuer gute Ansprechpartner für den Baustein ''Personal'' sein | * So können Mitarbeiter der Personalabteilung oder Benutzerbetreuer gute Ansprechpartner für den Baustein ''Personal'' sein | ||
* Während es sich anbietet, für die Systembausteine zu Netzen, -Systemen oder Anwendungen die jeweils zuständigen Administratoren und Anwendungsbetreuer zu befragen | * Während es sich anbietet, für die Systembausteine zu Netzen, -Systemen oder Anwendungen die jeweils zuständigen Administratoren und Anwendungsbetreuer zu befragen | ||
=== Durchführung === | === Durchführung === | ||
; Arbeitsteilung | ; Arbeitsteilung | ||
Vier Augen und Ohren sehen und hören mehr als zwei | |||
* Führen Sie die Interviews nach Möglichkeit daher '''nicht alleine''' durch | * Führen Sie die Interviews nach Möglichkeit daher '''nicht alleine''' durch | ||
* Es empfiehlt sich eine Arbeitsteilung: Einer führt das Gespräch und stellt die Fragen, ein anderer protokolliert die Ergebnisse | * Es empfiehlt sich eine Arbeitsteilung: Einer führt das Gespräch und stellt die Fragen, ein anderer protokolliert die Ergebnisse | ||
* Selbstverständlich sollten Sie bei der Befragung den Inhalt der Anforderungsbeschreibungen sowie die zugehörigen Umsetzungsempfehlungen kennen | * Selbstverständlich sollten Sie bei der Befragung den Inhalt der Anforderungsbeschreibungen sowie die zugehörigen Umsetzungsempfehlungen kennen | ||
* Gegebenenfalls können stichpunktartige '''Zusammenfassungen''' zu einzelnen Anforderungen sowie möglichen Maßnahmen, mit denen sie erfüllt werden können, nützlich sein | * Gegebenenfalls können stichpunktartige '''Zusammenfassungen''' zu einzelnen Anforderungen sowie möglichen Maßnahmen, mit denen sie erfüllt werden können, nützlich sein | ||
; Chancen nutzen | ; Chancen nutzen | ||
Der Grundschutz-Check ist eine Chance, die Informationssicherheit zu verbessern, kein Verhör | |||
* Sorgen Sie für ein '''entspanntes Klima''', sowohl beim Gespräch als auch bei Begehungen und Überprüfungen vor Ort | * Sorgen Sie für ein '''entspanntes Klima''', sowohl beim Gespräch als auch bei Begehungen und Überprüfungen vor Ort | ||
=== Dokumentation === | === Dokumentation === | ||
; Umsetzungsgrad | |||
Erfüllungsgrad der Grundschutz-Anforderungen dokumentieren | |||
{| class="wikitable options" | {| class="wikitable options" | ||
|- | |- | ||
! | ! Umsetzungsgrad !! Beschreibung | ||
|- | |- | ||
| | | [[#Vollständig|Vollständig]] || Alle (Teil)-Anforderung durch geeignete Maßnahmen vollständig, wirksam, angemessen erfüllt | ||
|- | |- | ||
| | | [[#Entbehrlich|Entbehrlich]] || Erfüllung einer Anforderung nicht notwendig | ||
|- | |- | ||
| | | [[#Teilweise|Teilweise]] || Anforderung wird teilweise erfüllt | ||
|- | |- | ||
| | | [[#Nicht erfüllt|Nicht]] || Anforderung ist nicht erfüllt wird, geeignete Maßnahmen wurden größtenteils nicht umgesetzt | ||
|} | |} | ||
; Entbehrlich | ; Entbehrlich | ||
Wird die Erfüllung einer Anforderung auf „entbehrlich“ gesetzt, weil Alternativmaßnahmen ergriffen wurden, muss nachgewiesen werden, dass diese Maßnahmen die bestehenden Risiken angemessen minimieren | |||
* Identifizieren Sie hierfür über die Kreuzreferenztabelle des jeweiligen Bausteins die zugehörigen elementaren Gefährdungen | |||
* Wurden Alternativmaßnahmen ergriffen, begründen Sie, dass diese das von den relevanten Gefährdungen ausgehende Risiko angemessen verringern | |||
Generell gilt, dass Risiken aufgrund der Nichterfüllung von Basis-Anforderungen nicht übernommen werden können | |||
Damit die Ergebnisse des Grundschutz-Checks später und auch von Dritten nachvollzogen und überprüft werden können, ist es wichtig, dass Sie diese sorgfältig dokumentieren | * Anforderungen dürfen darüber hinaus nicht quasi automatisch durch pauschale Akzeptanz oder pauschalen Ausschluss einer elementaren Gefährdung als „entbehrlich“ eingestuft werden | ||
Da den möglichen Gefährdungen mit mindestens gleichwertigen Ersatzmaßnahmen entgegengewirkt wird ( erübrigen sich Passwortregeln, wenn Chipkarten zusätzlich für die Authentisierung eingesetzt werden) oder wenn die Empfehlungen für den betrachteten Einsatzzweck nicht relevant sind (so ist die Anforderung zur Absicherung von Fernwartung nur dann bedeutsam, wenn tatsächlich auch Systeme von entfernten Standorten aus gewartet werden) | |||
==== Nachvollziehbarkeit ==== | |||
Damit die Ergebnisse des Grundschutz-Checks später und auch von Dritten nachvollzogen und überprüft werden können, ist es wichtig, dass Sie diese sorgfältig dokumentieren | |||
; Begründungen | ; Begründungen | ||
* Vergessen Sie nicht, bei Anforderungen, die Sie als entbehrlich, nur teilweise oder überhaupt nicht erfüllt eingestuft haben, in der Dokumentation Ihre '''Begründung''' hierfür anzugeben | * Vergessen Sie nicht, bei Anforderungen, die Sie als entbehrlich, nur teilweise oder überhaupt nicht erfüllt eingestuft haben, in der Dokumentation Ihre '''Begründung''' hierfür anzugeben | ||
; Formale Angaben | ; Formale Angaben | ||
; Bei jedem Interview angeben | ; Bei jedem Interview angeben | ||
* Zielobjekt | * Zielobjekt | ||
Zeile 150: | Zeile 162: | ||
* Wer befragt wurde | * Wer befragt wurde | ||
=== Hilfsmittel === | |||
==== Checklisten ==== | ==== Checklisten ==== | ||
Dokumentation mit Checklisten | |||
==== Tool-Unterstützung ==== | ==== Tool-Unterstützung ==== | ||
Der Grundschutz-Check wird auch durch eine Reihe an Tools unterstützt, die auf die Grundschutz-Methodik zugeschnitten sind | Der Grundschutz-Check wird auch durch eine Reihe an Tools unterstützt, die auf die Grundschutz-Methodik zugeschnitten sind | ||
* Bei Verwendung eines solchen Werkzeugs haben Sie den zusätzlichen Vorteil, dass die Daten der Strukturanalyse für die Dokumentation des Grundschutz-Checks konsistent übernommen werden | * Bei Verwendung eines solchen Werkzeugs haben Sie den zusätzlichen Vorteil, dass die Daten der Strukturanalyse für die Dokumentation des Grundschutz-Checks konsistent übernommen werden | ||
Sowohl die Formulare in den Hilfsmitteln zum Grundschutz als auch die Masken in den Grundschutz-Werkzeugen bieten Felder an, in die Sie Angaben zur Umsetzung der als fehlend erkannten Maßnahmen eintragen können (Umsetzungsfristen, Verantwortliche, voraussichtliche Kosten) | Sowohl die Formulare in den Hilfsmitteln zum Grundschutz als auch die Masken in den Grundschutz-Werkzeugen bieten Felder an, in die Sie Angaben zur Umsetzung der als fehlend erkannten Maßnahmen eintragen können (Umsetzungsfristen, Verantwortliche, voraussichtliche Kosten) | ||
* Diese Angaben sind für die Realisierungsplanung wichtig | * Diese Angaben sind für die Realisierungsplanung wichtig | ||
* Beim Grundschutz-Check ist es noch nicht erforderlich, diese Felder auszufüllen | * Beim Grundschutz-Check ist es noch nicht erforderlich, diese Felder auszufüllen | ||
<noinclude> | |||
== Anhang == | == Anhang == | ||
=== Siehe auch === | === Siehe auch === | ||
{{Special:PrefixIndex/Grundschutz-Check}} | {{Special:PrefixIndex/IT-Grundschutz/Grundschutz-Check}} | ||
==== Dokumentation ==== | ==== Dokumentation ==== | ||
==== Links ==== | ==== Links ==== | ||
===== Weblinks ===== | ===== Weblinks ===== | ||
[[Kategorie:Grundschutz/Grundschutz-Check]] | [[Kategorie:IT-Grundschutz/Grundschutz-Check]] | ||
</noinclude> | </noinclude> |
Aktuelle Version vom 31. Oktober 2024, 13:38 Uhr
Grundschutz-Check - Soll-Ist-Vergleich zwischen geforderten und erfüllten Anforderungen
Beschreibung
- Motivation
Sind Informationen und Informationstechnik hinreichend geschützt?
- Was bleibt zu tun?
- Soll-Ist-Vergleich
- Anforderungen mit den umgesetzten Sicherheitsmaßnahmen
- Informationsverbund oder Komponente
- Umgesetzte Sicherheitsmaßnahmen mit den Anforderungen des entwickelten Grundschutz-Modells vergleichen
- Bestehendes Sicherheitsniveau identifizieren
- Verbesserungsmöglichkeiten aufzeigen
- Grundschutz-Modell
Grundlage des Grundschutz-Checks
- ist das in der Modellierung aufgrund der vorhandenen Zielobjekte und ihres Schutzbedarfs zusammengestellte Grundschutz-Modell des Informationsverbundes
- In diesem Modell ist festgelegt, welche Bausteine und damit Anforderungsbündel für die einzelnen Zielobjekte des Informationsverbundes anzuwenden sind
- Anforderungen
- Basisanforderungen
- Standardanforderungen
- Anforderungen für den erhöhten Schutzbedarf
- Vorgehensweise
Welche dieser Anforderungen Sie im Grundschutz-Check berücksichtigen, hängt von der Vorgehensweise der IT-Grundschutz-Methodik ab
- Bei der Vorgehensweise Basis-Absicherung prüfen Sie lediglich die Erfüllung der Basis-Anforderungen
- Bei den Vorgehensweisen Standard-Absicherung und Kern-Absicherung berücksichtigen Sie zusätzlich die Standard-Anforderungen
- Die Anforderungen für den erhöhten Schutzbedarf haben Beispielcharakter und können im Bedarfsfall durch andere Maßnahmen mit starker Schutzwirkung ersetzt oder ergänzt werden
- Sie prüfen diese Anforderungen also nur dann, wenn sie als Ergebnis einer Risikoanalyse in das Grundschutz-Modell aufgenommen wurden, also Bestandteil des Sicherheitskonzepts geworden sind
- siehe Risikoanalyse
- Anforderungen
Basis für den IT-Grundschutz-Check sind die Anforderungen aus dem IT-Grundschutz/Kompendium
- Aus der Strukturanalyse und der anschließenden Modellierung geht ein Modell des Informationsverbundes hervor, das alle relevanten Objekte mit den zugehörigen Bausteinen des IT-Grundschutz/Kompendiums enthält
- Aufgrund der nun vorliegenden Bausteine wird für jedes Objekt ermittelt, wie hoch der Erfüllungsgrad der in den Bausteinen enthaltenen Anforderungen ist
- Dies geschieht großenteils durch Interviews mit den Verantwortlichen der jeweiligen Bereiche
- Überblick über das vorhandene IT-Sicherheitsniveau
Der IT-Grundschutz-Check ist somit ein Organisationsinstrument, welches einen gebündelten Überblick über das vorhandene IT-Sicherheitsniveau bietet
- Als Ergebnis liegt ein Katalog vor, in dem für jede relevante Anforderung der Umsetzungsstatus „entbehrlich“, „ja“, „teilweise“ oder „nein“ erfasst ist
- Durch die Identifizierung von nicht oder nur teilweise umgesetzten Maßnahmen werden Verbesserungsmöglichkeiten für die Sicherheit der betrachteten Informationstechnik aufgezeigt
- Soll/Ist-Abgleich
Der IT-Grundschutz-Check gibt Auskunft über die noch fehlenden Maßnahmen (Soll/Ist-Abgleich)
- Daraus folgt, was noch zu tun ist, um das angestrebte Maß an Sicherheit zu erlangen
- Die Grundschutz-Methodik unterscheidet hier die Basis-, Standard- oder Kern-Absicherung
- Die Anforderungen des Kompendiums sind für die jeweilige Absicherungsmethode gekennzeichnet (Basis, Standard und für erhöhten Schutzbedarf)
- Hoher/sehr hoher Schutzbedarf
Für Systeme mit hohem/sehr hohem Schutzbedarf werden mitunter auch auf einer Risikoanalyse basierende [[Informationssicherheits-Konzepte wie nach ISO/IEC 27001 angewandt
- Vorarbeiten
Arbeitsschritt | Beschreibung |
---|---|
IT-Grundschutz/Strukturanalyse | Ermittlung der relevanten Zielobjekte des Informationsverbundes |
IT-Grundschutz/Schutzbedarfsfeststellung | Festlegung des Schutzbedarfs für die ermittelten Zielobjekte |
IT-Grundschutz/Modellierung | Anwendung der Grundschutz-Bausteine auf die Zielobjekte |
Damit wurde ein Prüfplan („Grundschutz-Modell“) für den Informationsverbund und dessen Zielobjekte zusammengestellt
- Prüfplan anwenden (Grundschutz-Check)
Je Zielobjekt prüfen
- inwieweit relevante Anforderungen erfüllt sind
- durch technische oder organisatorische Maßnahmen
Vorgehen
Schritt | Bezeichnung | Beschreibung |
---|---|---|
1 | Vorbereitungen | |
2 | Durchführung | |
3 | Dokumentation |
Vorbereitung
- Umsetzungsgrad ermitteln und dokumentieren
Umsetzungsgrad einzelner Maßnahmen für das jeweilige Zielobjekt ermitteln und dokumentieren
- Interview der zuständigen Mitarbeiter
- Überprüfungen vor Ort
- Begehung von Serverräumen
- Kontrolle von Konfigurationseinstellungen
- Qualität der Ergebnisse
Die Qualität der Ergebnisse der Interviews und Begehungen hängt auch von einer guten Vorbereitung und der Beachtung einiger Regeln bei der Durchführung ab
- Aktuelles Grundschutz-Kompendium
- Dort wird der Stand der Technik entsprechende Sicherheit beschrieben
- Die Informationstechnik ändert sich kontinuierlich, sodass regelmäßig geprüft werden muss, ob die eingeführten Sicherheitsmaßnahmen noch einen angemessenen Schutz bieten
- Das Grundschutz-Kompendium wird fortlaufend angepasst und um neue Bausteine ergänzt
- Sichten der Dokumente
- Die vorhandenen Dokumente über sicherheitsrelevante Abläufe, Regelungen und Sachverhalte enthalten bereits viele Informationen, die Ihnen bei der Ermittlung des Erfüllungsgrads der Anforderungen helfen können
- Sichten Sie diese Papiere daher bereits vorab
- Ansprechpartner auswählen
- Wählen Sie geeignete Ansprechpartner aus
- Klären Sie in diesem Zusammenhang auch, ob externe Stellen hinzuzuziehen sind, Fremdfirmen, an die Teilaufgaben des Informationsverbundes delegiert wurden
Ansprechpartner ergeben sich direkt aus den im genannten Rollen sowie oft aus dem sachlichen Zusammenhang
- So können Mitarbeiter der Personalabteilung oder Benutzerbetreuer gute Ansprechpartner für den Baustein Personal sein
- Während es sich anbietet, für die Systembausteine zu Netzen, -Systemen oder Anwendungen die jeweils zuständigen Administratoren und Anwendungsbetreuer zu befragen
Durchführung
- Arbeitsteilung
Vier Augen und Ohren sehen und hören mehr als zwei
- Führen Sie die Interviews nach Möglichkeit daher nicht alleine durch
- Es empfiehlt sich eine Arbeitsteilung: Einer führt das Gespräch und stellt die Fragen, ein anderer protokolliert die Ergebnisse
- Selbstverständlich sollten Sie bei der Befragung den Inhalt der Anforderungsbeschreibungen sowie die zugehörigen Umsetzungsempfehlungen kennen
- Gegebenenfalls können stichpunktartige Zusammenfassungen zu einzelnen Anforderungen sowie möglichen Maßnahmen, mit denen sie erfüllt werden können, nützlich sein
- Chancen nutzen
Der Grundschutz-Check ist eine Chance, die Informationssicherheit zu verbessern, kein Verhör
- Sorgen Sie für ein entspanntes Klima, sowohl beim Gespräch als auch bei Begehungen und Überprüfungen vor Ort
Dokumentation
- Umsetzungsgrad
Erfüllungsgrad der Grundschutz-Anforderungen dokumentieren
Umsetzungsgrad | Beschreibung |
---|---|
Vollständig | Alle (Teil)-Anforderung durch geeignete Maßnahmen vollständig, wirksam, angemessen erfüllt |
Entbehrlich | Erfüllung einer Anforderung nicht notwendig |
Teilweise | Anforderung wird teilweise erfüllt |
Nicht | Anforderung ist nicht erfüllt wird, geeignete Maßnahmen wurden größtenteils nicht umgesetzt |
- Entbehrlich
Wird die Erfüllung einer Anforderung auf „entbehrlich“ gesetzt, weil Alternativmaßnahmen ergriffen wurden, muss nachgewiesen werden, dass diese Maßnahmen die bestehenden Risiken angemessen minimieren
- Identifizieren Sie hierfür über die Kreuzreferenztabelle des jeweiligen Bausteins die zugehörigen elementaren Gefährdungen
- Wurden Alternativmaßnahmen ergriffen, begründen Sie, dass diese das von den relevanten Gefährdungen ausgehende Risiko angemessen verringern
Generell gilt, dass Risiken aufgrund der Nichterfüllung von Basis-Anforderungen nicht übernommen werden können
- Anforderungen dürfen darüber hinaus nicht quasi automatisch durch pauschale Akzeptanz oder pauschalen Ausschluss einer elementaren Gefährdung als „entbehrlich“ eingestuft werden
Da den möglichen Gefährdungen mit mindestens gleichwertigen Ersatzmaßnahmen entgegengewirkt wird ( erübrigen sich Passwortregeln, wenn Chipkarten zusätzlich für die Authentisierung eingesetzt werden) oder wenn die Empfehlungen für den betrachteten Einsatzzweck nicht relevant sind (so ist die Anforderung zur Absicherung von Fernwartung nur dann bedeutsam, wenn tatsächlich auch Systeme von entfernten Standorten aus gewartet werden)
Nachvollziehbarkeit
Damit die Ergebnisse des Grundschutz-Checks später und auch von Dritten nachvollzogen und überprüft werden können, ist es wichtig, dass Sie diese sorgfältig dokumentieren
- Begründungen
- Vergessen Sie nicht, bei Anforderungen, die Sie als entbehrlich, nur teilweise oder überhaupt nicht erfüllt eingestuft haben, in der Dokumentation Ihre Begründung hierfür anzugeben
- Formale Angaben
- Bei jedem Interview angeben
- Zielobjekt
- Datum
- Wer es durchgeführt hat
- Wer befragt wurde
Hilfsmittel
Checklisten
Dokumentation mit Checklisten
Tool-Unterstützung
Der Grundschutz-Check wird auch durch eine Reihe an Tools unterstützt, die auf die Grundschutz-Methodik zugeschnitten sind
- Bei Verwendung eines solchen Werkzeugs haben Sie den zusätzlichen Vorteil, dass die Daten der Strukturanalyse für die Dokumentation des Grundschutz-Checks konsistent übernommen werden
Sowohl die Formulare in den Hilfsmitteln zum Grundschutz als auch die Masken in den Grundschutz-Werkzeugen bieten Felder an, in die Sie Angaben zur Umsetzung der als fehlend erkannten Maßnahmen eintragen können (Umsetzungsfristen, Verantwortliche, voraussichtliche Kosten)
- Diese Angaben sind für die Realisierungsplanung wichtig
- Beim Grundschutz-Check ist es noch nicht erforderlich, diese Felder auszufüllen
Anhang
Siehe auch
Dokumentation
Links
Weblinks