IT-Grundschutz/Umsetzungsplanung: Unterschied zwischen den Versionen
Zeile 58: | Zeile 58: | ||
=== Budget === | === Budget === | ||
Angesichts des in der Regel begrenzten Budgets für Informationssicherheit ist ein Überblick über die voraussichtlichen fixen und variablen Kosten der einzelnen Maßnahmen nötig | Angesichts des in der Regel begrenzten Budgets für Informationssicherheit ist ein Überblick über die voraussichtlichen fixen und variablen Kosten der einzelnen Maßnahmen nötig | ||
* | |||
; Kosten schätzen | |||
* einmalige und wiederkehrende finanzielle Kosten | |||
* personeller Aufwand | |||
durch die Umsetzung der einzelnen geplanten Maßnahmen | |||
=== Personal und Finanzmittel === | === Personal und Finanzmittel === |
Version vom 27. November 2024, 20:31 Uhr
Grundschutz/Umsetzungsplanung - Lücken im Sicherheitskonzept schließen
Einleitung
- Umsetzung von IT-Sicherheitsmaßnahmen
Schritt | Beschreibung | |
---|---|---|
1 | Sichtung der Untersuchungsergebnisse |
|
2 | Konsolidierung der Maßnahmen |
|
3 | Kosten- und Aufwandsschätzung |
|
4 | Festlegung der Umsetzungsreihenfolge |
|
5 | Festlegung der Verantwortlichkeit |
|
6 | Realisierungsbegleitende Maßnahmen |
|
- Gewünschtes Sicherheitsniveau
- Alle Basis- und Standard-Anforderungen sind erfüllt
- Risikoanalysen haben ergeben, dass auch Zielobjekte mit erhöhtem Schutzbedarf angemessen geschützt sind
- IT-Grundschutz-Check
IT-Grundschutz-Check und zusätzliche Risikoanalysen führen oft zu anderen Ergebnissen
- Verbesserung
Fokus auf Aufrechterhaltung und Verbesserung
- Defizite gibt es immer
Typische Defizite
- Lücken in den vorhandenen organisatorischen Regelungen
- Mangelnde Kontrolle der geltenden Regeln
- Fehlende Sicherheitstechnik
- Unzureichender baulicher Schutz gegen Feuer, Wasser oder Diebstahl
- Lücken wirksam und effizient schließen
Bei der Umsetzungsplanung geht es darum, diese Lücken wirksam und effizient zu schließen
- Systematisches Vorgehen
Wenn viele Einzelmaßnahmen umzusetzen sind
Aufwand
- Aufwände schätzen
Budget
Angesichts des in der Regel begrenzten Budgets für Informationssicherheit ist ein Überblick über die voraussichtlichen fixen und variablen Kosten der einzelnen Maßnahmen nötig
- Kosten schätzen
- einmalige und wiederkehrende finanzielle Kosten
- personeller Aufwand
durch die Umsetzung der einzelnen geplanten Maßnahmen
Personal und Finanzmittel
- Der Einsatz von Personal und Finanzmitteln muss vom Management getragen werden
- Dies gilt insbesondere dann, wenn die bewilligten Finanzmittel nicht für die sofortige Umsetzung sämtlicher Maßnahmen ausreichen und entschieden werden muss, ob das Budget aufgestockt oder das Risiko in Kauf genommen werden soll, das verbleibt, wenn Maßnahmen nicht umgesetzt werden
Managemententscheidung
- Vorbereitung von Managemententscheidungen
- Einführung von Sicherheitsmaßnahmen
- Vorschlag für die Verteilung des Budgets erarbeiten
- kostengünstigere Ersatzmaßnahmen erwägen
- Restrisiken, die aus der Nichterfüllung von Sicherheitsanforderungen
- Dem Management bewusst machen
- Argumentationshilfe
- Kreuzreferenztabellen
- Entscheidung dokumentieren
- dafür sorgen, dass das Management bei der Entscheidung über das Budget durch Unterschrift dokumentiert, dass es bereit ist, die Restrisiken zu tragen
- Nicht akzeptable Risiken
Beachten Sie, dass die Erfüllung der relevanten Basis-Anforderungen das Mindest-Sicherheitsniveau gemäß IT-Grundschutz ist
- Risiken, die aus der Nichterfüllung solcher Anforderungen erwachsen, sollten daher nicht akzeptiert werden
Begleitende Maßnahmen
- Begleitende Maßnahmen festlegen
Schulung | |
Sensibilisierung | |
Akzeptanz |
- Erfolg von Maßnahmen
Hängt wesentlich davon ab, wie diese von den Mitarbeitern akzeptiert und angewandt werden
- Einführung neuer Sicherheitsmaßnahmen
Betroffene Mitarbeiter ausreichend schulen
- Für mögliche Probleme sensibilisieren
Schulung
- Planen Sie Schulungsmaßnahmen ein
Die Einführung neuer Sicherheitsmaßnahmen erfordert
- Aufgaben- und produktbezogene Schulungen
- Für die betroffenen Mitarbeiter
Beispiel
- Was nützt etwa ein neu angeschaffter Feuerlöscher, wenn die Mitarbeiter im Brandfall nicht sachgerecht mit ihm umgehen können?
- Beispiele für zweckmäßige Schulungen
Bereich | Beschreibung |
---|---|
Sicherheitsmanagement |
|
Firewall | Wenn die Schnittstelle zum Internet durch eine Firewall geschützt werden soll, benötigt der zuständige Netzadministrator Kenntnisse über deren sichere Installation, Konfiguration und Administration |
Verschlüsselung | Der Einsatz von Verschlüsselungssoftware zum Schutz der Vertraulichkeit personenbezogener oder unternehmenskritischer Daten erfordert nicht nur den Aufbau von Know-how zu dem eingesetzten Produkt, sondern auch Regeln für dessen Anwendung:
Die auf diese und andere Fragen gefundenen Lösungen müssen den Mitarbeitern verständlich gemacht werden |
Sensibilisierung
- Sensibilisierung betroffener Mitarbeiter
Schulung alleine garantiert noch kein sicherheitsgerechtes Verhalten
- Dauerhafte Wirksamkeit von Sicherheitsmaßnahmen
Mitarbeiter einbeziehen
- Für Informationssicherheit sensibilisieren
- Bereitschaft schaffen, die erforderlichen Maßnahmen umzusetzen
- Notwendige Verhaltensregeln zu beachten
- Auch Unbequemlichkeiten zu akzeptieren
- Feedback aufnehmen
- Negative Beispiele
Bereich | Beschreibung |
---|---|
Brandschutz | Brandschutztüren verlieren ihre Schutzwirkung, wenn sie mit Holzkeilen offen gehalten werden, weil den Mitarbeitern das ständige Öffnen der Türen zu umständlich ist |
E-Mail-Verschlüsselung | Der Kauf von Software zur E-Mail-Verschlüsselung wird zur Fehlinvestition, wenn die Mitarbeiter diese nicht benutzen, weil sie sich der Gefährdungen der Vertraulichkeit nicht bewusst sind und ihre E-Mails weiterhin unverschlüsselt versenden, auch solche mit vertraulichem Inhalt |
Passwörter | Passwörter bedeuten immer einen zusätzlichen Arbeitsschritt vor der eigentlichen Aufgabe
|
Lästige Pflicht | Wenn die Mitarbeiter diese Anforderungen lediglich als lästige Pflicht betrachten, werden Sie dazu neigen, sie zu umgehen, indem sie unsichere Passwörter wählen oder Zettel mit den Passwörtern in der Nähe des Rechners platzieren |
Netzadministrator | Ein Netzadministrator, der seine Probleme bei der Installation eines Sicherheitsgateways unter Angabe seiner dienstlichen Adresse in einem Internet-Forum diskutiert, gefährdet die Schutzwirkung der Software, um deren Installation er sich bemüht |
Den betroffenen Mitarbeitern muss der Sinn der neuen Sicherheitsmaßnahmen verständlich gemacht werden, sei es in Gesprächen, in eigens anberaumten Versammlungen, während regelmäßig stattfindender Besprechungen oder in schriftlicher Form
Akzeptanz
- Überprüfen Sie die Akzeptanz der Maßnahmen
Maßnahmen, die von den Mitarbeitern nicht akzeptiert werden, drohen zu scheitern.
Überprüfen Sie daher nach Einführung der Sicherheitsmaßnahmen, ob diese tatsächlich von den Mitarbeitern angenommen werden
- Sollte dies nicht oder nur eingeschränkt der Fall sein, so versuchen Sie, die Ursachen dafür zu ermitteln, und leiten Sie bei Bedarf zusätzliche Maßnahmen zur Sensibilisierung ein
Konsolidierung
Maßnahmen konsolidieren - Beschreibung
Beschreibung
- Ergebnisse des IT-Grundschutz-Checks
Im ersten Schritt sind aus den Ergebnissen des IT-Grundschutz-Checks und eventuell durchgeführter Risikoanalysen diejenigen Anforderungen herauszufiltern, die nicht oder nur teilweise erfüllt sind
- Übersichtliche Dokumentation
Eine übersichtliche Dokumentation erhalten Sie, wenn Sie die unzureichend erfüllten Anforderungen tabellarisch zusammenstellen und dabei nach den betroffenen Zielobjekten gruppieren, etwa nach dem gesamten Informationsverbund oder bestimmten Räumen und IT-Systemen
- Maßnahmen festlegen
Legen Sie anschließend Maßnahmen fest, mit denen Sie diese Sicherheitslücken schließen können
- Als Hilfsmittel hierfür können Sie die Umsetzungshinweise zu den einzelnen IT-Grundschutz-Bausteinen verwenden
- Zusammenhang prüfen
Anschließend betrachten Sie die Maßnahmen im Zusammenhang und prüfen
- Ob einzelne Maßnahmen überflüssig werden, weil andere zu realisierende Maßnahmen einen mindestens gleichwertigen Schutz für das jeweilige Zielobjekt bewirken
- welche Maßnahmen noch konkretisiert und an die individuellen Gegebenheiten der Institution angepasst werden müssen und
- ob die Maßnahmen tatsächlich geeignet und angemessen sind, sie also genügend Schutz bieten, ohne die Arbeitsabläufe zu behindern oder die Schutzwirkung anderer Maßnahmen zu beeinträchtigen
- Streichung überflüssiger Maßnahmen
Ziel ist es, durch Streichung der überflüssigen und Konkretisierung der verbleibenden Maßnahmen den erforderlichen finanziellen und personellen Realisierungsaufwand auf das notwendige Maß zu begrenzen
- Ergebnisse
Das Ergebnis dieses Schritts ist eine auf die jeweilige Institution zugeschnittene und konkretisierte Liste von Maßnahmen
- Erleichtern Sie die spätere Nachvollziehbarkeit der Entscheidungen, die Sie bei dem Abgleich und der Anpassung der Maßnahmen getroffen haben, indem Sie die Begründungen dokumentieren
Beispiele
Fragen und Lösungen bei der Konsolidierung von Maßnahmen
Authentisierung
Wenn eine Risikoanalyse ergab, dass für eine Gruppe von IT-Systemen eine Authentisierung über ein Chipkarten- oder tokenbasiertes Verfahren angewandt werden sollte, können unter Umständen Maßnahmen zur Gewährleistung einer hohen Passwortgüte entfallen
Gebäudeplanung
- Fehler bei der Gebäudeplanung lassen sich nachträglich oft nur mit einem unverhältnismäßig hohen Aufwand korrigieren
- Wenn die vollständige Erfüllung von Anforderungen wie die Vermeidung wasserführender Leitungen aufgrund der baulichen Gegebenheiten wirtschaftlich nicht vertretbar ist, sollten zumindest Ersatzmaßnahmen getroffen werden
- Beispielsweise können unter den vorhandenen Leitungen wasserableitende Bleche installiert werden, die von einem Wassermelder mit einer im ständig besetzten Pförtnerraum hörbaren Alarmsirene überwacht werden
- Dadurch können Wasserschäden zumindest frühzeitig erkannt und in den Auswirkungen begrenzt werden
Zugangsschutz
- Maßnahmen zum Zugangsschutz versperren unter Umständen im Brandfall mögliche Fluchtwege
- Hier empfiehlt sich gegebenenfalls die Rücksprache mit Brandschutzexperten, der Feuerwehr, um sowohl dem Zugangs- als auch dem Brandschutz gleichermaßen gerecht zu werden
Verschlüsselung
- Verschlüsselung unternehmenskritischer Informationen
Die Verschlüsselung unternehmenskritischer Informationen zum Schutz ihrer Vertraulichkeit ist ein Beispiel für eine Maßnahme, die mit anderen Schutzzielen kollidieren kann, und bei der daher eine sorgfältige Abwägung der Vor- und Nachteile und unter Umständen ergänzende Maßnahmen nötig sind:
- Verschlüsselte E-Mails können den zentralen Virenschutz auf einem Server unterlaufen und so zur Infiltration eines Netzes mit Schadsoftware führen
- Bei unzureichendem Schlüssel-Management oder fehlerhafter Anwendung kann Verschlüsselung ferner die Verfügbarkeit wichtiger Daten auch für berechtigte Personen gefährden
Reihenfolge
- Umsetzungsreihenfolge und Verantwortlichkeit
Umsetzungsreihenfolge
Wenn Budget oder Personal nicht ausreichen, alle wünschenswerten Sicherheitsmaßnahmen unmittelbar umzusetzen, ist eine sinnvolle Reihenfolge festzulegen
- Dabei sollten Sie sich an folgenden Regeln orientieren
- Einen ersten Indikator zur Umsetzungsreihenfolge liefern die Kennzeichnungen R1, R2 und R3 bei den Modellierungshinweisen in Kapitel 2.2 des IT-Grundschutz-Kompendiums
- Anforderungen aus mit „R1“ gekennzeichneten Bausteinen (z. B. ISMS.1 Sicherheitsmanagement und die Bausteine der Schicht ORP Organisation und Personal) sollten vorrangig erfüllt werden
- Anschließend sind Anforderungen aus den mit „R2“ gekennzeichneten Bausteinen zu erfüllen und erst zum Schluss solche aus Bausteinen, die mit dem Kürzel „R3“ versehen sind
- Grundsätzlich sind ferner zunächst diejenigen Maßnahmen umzusetzen, mit denen Basis-Anforderungen erfüllt werden, dann diejenigen zur Erfüllung von Standard-Anforderungen und erst zuletzt die zur Gewährleistung eines höheren Schutzbedarfs
- Berücksichtigen Sie ferner auch die sachlogischen Zusammenhänge der einzelnen Maßnahmen: So sind diejenigen Maßnahmen vorzuziehen, deren Umsetzung eine Voraussetzung für die Realisierung weiterer Maßnahmen ist
Insbesondere sollten Sie Ihr Augenmerk darauf legen, welche Wirkung die Umsetzung der einzelnen Maßnahmen auf das Sicherheitsniveau des Informationsverbundes hat
- Setzen Sie vorrangig solche Maßnahmen um, die
- Komponenten mit höherem Schutzbedarf betreffen (sollten Server vor Clients abgesichert werden)
- eine große Breitenwirkung entfalten (z. B. zentrale Maßnahmen wie der Einsatz von Netz- und Systemmanagement-Werkzeugen) oder
- Bereiche betreffen, in denen auffallend viele Sicherheitsmaßnahmen fehlen
Dokumentieren Sie auch Ihre Entscheidungen zur Umsetzungsreihenfolge und deren Begründungen sorgfältig, damit nachvollziehbar und verständlich wird, warum Sie die aus der zeitlich nachgeordneten Umsetzung bestimmter Maßnahmen resultierenden Restrisiken in Kauf genommen haben
- Dies kann insbesondere bei eventuell möglichen juristischen Streitfällen als Nachweis wichtig sein, dass die notwendige Sorgfaltspflicht beachtet wurde
Verantwortlichkeit
Aufgaben und Verantwortlichkeiten
Maßnahmen werden meist nur dann fristgerecht umgesetzt, wenn geklärt wird, wer bis zu welchem Termin für deren Umsetzung zuständig ist
- Der nächste Schritt besteht daher darin, diejenigen Personen zu bestimmen, welche die Umsetzung initiieren und durchführen sollen
- Auch diese Entscheidungen sollten mit dem Management abgestimmt sein
Achten Sie darauf, dass die für die Umsetzung Zuständigen ausreichende Kenntnisse und Kompetenzen besitzen und ihnen die erforderlichen Ressourcen zur Verfügung gestellt werden
- Planen Sie erforderliche Fortbildungen ein
Umsetzungsplan
- Dokumentation
Auszug Realisierungsplan
- Zielobjekt: Printserver S003
- Maßnahmen, Entscheidungen, Termine, Kosten, Verantwortlichkeiten
- Umsetzungsplan
Anforderung | Maßnahme | Termin | Kosten | Umsetzung |
---|---|---|---|---|
SYS.1.1.A3 Restriktive Rechtevergabe |
Gruppenberechtigungen auflösen | 3. Quartal 2023 | Keine | IT-Betrieb Michael Schmitt |
SYS.1.1.A4 Rollentrennung |
Separate Benutzerkennungen für jeden Administrator | 31. Juli 2023 | Keine | IT-Betrieb Michael Schmitt |
SYS.1.1.A8 Regelmäßige Datensicherung |
Externes Backup-System Datensicherungen jetzt Bändern im Serverraum gelagert |
1. Quartal 2024 | Anschaffung: €15.000 Betrieb: verhandeln |
Einkauf Tanja Meyer |