IT-Grundschutz/Grundschutz-Check: Unterschied zwischen den Versionen
Zeile 123: | Zeile 123: | ||
|} | |} | ||
; | ; Entbehrlich | ||
Wird die Erfüllung einer Anforderung auf „entbehrlich“ gesetzt, weil Alternativmaßnahmen ergriffen wurden, muss nachgewiesen werden, dass diese Maßnahmen die bestehenden Risiken angemessen minimieren. | * Wird die Erfüllung einer Anforderung auf „entbehrlich“ gesetzt, weil Alternativmaßnahmen ergriffen wurden, muss nachgewiesen werden, dass diese Maßnahmen die bestehenden Risiken angemessen minimieren. | ||
* Identifizieren Sie hierfür über die Kreuzreferenztabelle des jeweiligen Bausteins die zugehörigen elementaren Gefährdungen. | ** Identifizieren Sie hierfür über die Kreuzreferenztabelle des jeweiligen Bausteins die zugehörigen elementaren Gefährdungen. | ||
* Wurden Alternativmaßnahmen ergriffen, begründen Sie, dass diese das von den relevanten Gefährdungen ausgehende Risiko angemessen verringern. | ** Wurden Alternativmaßnahmen ergriffen, begründen Sie, dass diese das von den relevanten Gefährdungen ausgehende Risiko angemessen verringern. | ||
* Generell gilt, dass Risiken aufgrund der Nichterfüllung von Basis-Anforderungen nicht übernommen werden können. | * Generell gilt, dass Risiken aufgrund der Nichterfüllung von Basis-Anforderungen nicht übernommen werden können. | ||
* Anforderungen dürfen darüber hinaus nicht quasi automatisch durch pauschale Akzeptanz oder pauschalen Ausschluss einer elementaren Gefährdung als „entbehrlich“ eingestuft werden. | * Anforderungen dürfen darüber hinaus nicht quasi automatisch durch pauschale Akzeptanz oder pauschalen Ausschluss einer elementaren Gefährdung als „entbehrlich“ eingestuft werden. | ||
Zeile 132: | Zeile 132: | ||
; Nachvollziehbarkeit | ; Nachvollziehbarkeit | ||
Damit die Ergebnisse des Grundschutz-Checks später und auch von Dritten nachvollzogen und überprüft werden können, ist es wichtig, dass Sie diese sorgfältig dokumentieren. | Damit die Ergebnisse des Grundschutz-Checks später und auch von Dritten nachvollzogen und überprüft werden können, ist es wichtig, dass Sie diese sorgfältig dokumentieren. | ||
; Begründungen | |||
* Vergessen Sie nicht, bei Anforderungen, die Sie als entbehrlich, nur teilweise oder überhaupt nicht erfüllt eingestuft haben, in der Dokumentation Ihre '''Begründung''' hierfür anzugeben. | * Vergessen Sie nicht, bei Anforderungen, die Sie als entbehrlich, nur teilweise oder überhaupt nicht erfüllt eingestuft haben, in der Dokumentation Ihre '''Begründung''' hierfür anzugeben. | ||
Zeile 137: | Zeile 139: | ||
Zur Dokumentation gehören auch '''formale Angaben.''' | Zur Dokumentation gehören auch '''formale Angaben.''' | ||
; | ; Bei jedem Interview angeben | ||
* Zielobjekt | * Zielobjekt | ||
* | * Datum | ||
* | * Wer es durchgeführt hat | ||
* | * Wer befragt wurde | ||
=== Checklisten === | === Checklisten === |
Version vom 29. September 2023, 16:49 Uhr
Grundschutz-Check - Soll-Ist-Vergleich zwischen geforderten und erfüllten Anforderungen
Beschreibung
- Motivation
- Sind Informationen und Informationstechnik hinreichend geschützt?
- Was bleibt zu tun?
- Umgesetzte Sicherheitsmaßnahmen mit den Anforderungen des entwickelten Grundschutz-Modells vergleichen
- Erreichtes Sicherheitsniveau identifizieren
- Verbesserungsmöglichkeiten aufzeigen
Vorarbeiten
Arbeitsschritt | Beschreibung |
---|---|
IT-Grundschutz/Strukturanalyse | Erfassung der Zielobjekte des Informationsverbundes |
IT-Grundschutz/Schutzbedarfsfeststellung | Festlegung des Schutzbedarfs für die Zielobjekte |
IT-Grundschutz/Modellierung | Anwendung der Grundschutz-Bausteine auf die Zielobjekte |
Damit wurde ein Prüfplan („Grundschutz-Modell“) für den Informationsverbund und dessen Zielobjekte zusammengestellt.
- Prüfplan anwenden (Grundschutz-Check)
Je Zielobjekt prüfen
- inwieweit relevante Anforderungen erfüllt sind
- durch technische oder organisatorische Maßnahmen
Anforderungen
Der Grundschutz-Check ist ein Soll-Ist-Vergleich der Anforderungen an einen Informationsverbund oder eine seiner Komponenten mit den umgesetzten Maßnahmen.
Grundlage des Grundschutz-Checks ist das in der Modellierung aufgrund der vorhandenen Zielobjekte und ihres Schutzbedarfs zusammengestellte Grundschutz-Modell des Informationsverbundes.
- In diesem Modell ist festgelegt, welche Bausteine und damit Anforderungsbündel für die einzelnen Zielobjekte des Informationsverbundes anzuwenden sind.
- Anforderungen
- Basisanforderungen
- Standardanforderungen
- Anforderungen für den erhöhten Schutzbedarf
- Welche dieser Anforderungen Sie im Grundschutz-Check berücksichtigen, hängt von der Vorgehensweise der IT-Grundschutz-Methodik ab
- Bei der Vorgehensweise Basis-Absicherung prüfen Sie lediglich die Erfüllung der Basis-Anforderungen.
- Bei den Vorgehensweisen Standard-Absicherung und Kern-Absicherung berücksichtigen Sie zusätzlich die Standard-Anforderungen.
- Die Anforderungen für den erhöhten Schutzbedarf haben Beispielcharakter und können im Bedarfsfall durch andere Maßnahmen mit starker Schutzwirkung ersetzt oder ergänzt werden.
- Sie prüfen diese Anforderungen also nur dann, wenn sie als Ergebnis einer Risikoanalyse in das Grundschutz-Modell aufgenommen wurden, also Bestandteil des Sicherheitskonzepts geworden sind.
- siehe Risikoanalyse
- Basis für den IT-Grundschutz-Check sind die Anforderungen aus dem IT-Grundschutz-Kompendium
- Aus der Strukturanalyse und der anschließenden Modellierung geht ein Modell des Informationsverbundes hervor, das alle relevanten Objekte mit den zugehörigen Bausteinen des IT-Grundschutz-Kompendiums enthält.
- Aufgrund der nun vorliegenden Bausteine wird für jedes Objekt ermittelt, wie hoch der Erfüllungsgrad der in den Bausteinen enthaltenen Anforderungen ist.
- Dies geschieht großenteils durch Interviews mit den Verantwortlichen der jeweiligen Bereiche.
- Der IT-Grundschutz-Check ist somit ein Organisationsinstrument, welches einen gebündelten Überblick über das vorhandene IT-Sicherheitsniveau bietet
- Als Ergebnis liegt ein Katalog vor, in dem für jede relevante Anforderung der Umsetzungsstatus „entbehrlich“, „ja“, „teilweise“ oder „nein“ erfasst ist.
- Durch die Identifizierung von nicht oder nur teilweise umgesetzten Maßnahmen werden Verbesserungsmöglichkeiten für die Sicherheit der betrachteten Informationstechnik aufgezeigt.
- Der IT-Grundschutz-Check gibt Auskunft über die noch fehlenden Maßnahmen (Soll/Ist-Abgleich)
- Daraus folgt, was noch zu tun ist, um das angestrebte Maß an Sicherheit zu erlangen.
- Die Grundschutz-Methodik unterscheidet hier die Basis-, Standard- oder Kern-Absicherung.
- Die Anforderungen des Kompendiums sind für die jeweilige Absicherungsmethode gekennzeichnet (Basis, Standard und für erhöhten Schutzbedarf).
- Für Systeme mit hohem/sehr hohem Schutzbedarf werden mitunter auch auf einer Risikoanalyse basierende [[Informationssicherheits-Konzepte wie nach ISO/IEC 27001 angewandt.
Vorgehen
Arbeitsschritt | |
---|---|
1 | Vorbereitungen |
2 | Durchführung |
3 | Dokumentation |
Vorbereitung
- Umsetzungsgrad ermitteln und dokumentieren
Den Umsetzungsgrad der einzelnen Maßnahmen für das jeweilige Zielobjekt ermitteln und dokumentieren Sie beim Grundschutz-Check in Interviews mit den zuständigen Mitarbeitern und Überprüfungen vor Ort, durch Begehung von Serverräumen oder Kontrolle von Konfigurationseinstellungen.
- Qualität der Ergebnisse
Die Qualität der Ergebnisse der Interviews und Begehungen hängt auch von einer guten Vorbereitung und der Beachtung einiger Regeln bei der Durchführung ab
- Kompendium
- Zunächst die wichtigste Regel: Die Informationstechnik ändert sich kontinuierlich, sodass regelmäßig geprüft werden muss, ob die eingeführten Sicherheitsmaßnahmen noch einen angemessenen Schutz bieten.
- Deswegen wird das Grundschutz-Kompendium fortlaufend angepasst und um neue Bausteine ergänzt.
- Benutzen Sie bitte für den Grundschutz-Check die aktuelle Version des Grundschutz-Kompendiums, da nur diese eine dem Stand der Technik entsprechende Sicherheit unterstützt.
- Dokumente
- Die vorhandenen Dokumente über sicherheitsrelevante Abläufe, Regelungen und Sachverhalte enthalten bereits viele Informationen, die Ihnen bei der Ermittlung des Erfüllungsgrads der Anforderungen helfen können.
- Sichten Sie diese Papiere daher bereits vorab.
- Ansprechpartner
- Wählen Sie geeignete Ansprechpartner aus.
- Klären Sie in diesem Zusammenhang auch, ob externe Stellen hinzuzuziehen sind, Fremdfirmen, an die Teilaufgaben des Informationsverbundes delegiert wurden.
- Ansprechpartner ergeben sich direkt aus den im genannten Rollen sowie oft aus dem sachlichen Zusammenhang: So können Mitarbeiter der Personalabteilung oder Benutzerbetreuer gute Ansprechpartner für den Baustein Personal sein, während es sich anbietet, für die Systembausteine zu Netzen, -Systemen oder Anwendungen die jeweils zuständigen Administratoren und Anwendungsbetreuer zu befragen.
Durchführung
- Arbeitsteilung
- Vier Augen und Ohren sehen und hören mehr als zwei.
- Führen Sie die Interviews nach Möglichkeit daher nicht alleine durch.
- Es empfiehlt sich eine Arbeitsteilung: Einer führt das Gespräch und stellt die Fragen, ein anderer protokolliert die Ergebnisse.
- Selbstverständlich sollten Sie bei der Befragung den Inhalt der Anforderungsbeschreibungen sowie die zugehörigen Umsetzungsempfehlungen kennen.
- Gegebenenfalls können stichpunktartige Zusammenfassungen zu einzelnen Anforderungen sowie möglichen Maßnahmen, mit denen sie erfüllt werden können, nützlich sein.
- Chancen nutzen
- Der Grundschutz-Check ist eine Chance, die Informationssicherheit zu verbessern, kein Verhör.
- Sorgen Sie für ein entspanntes Klima, sowohl beim Gespräch als auch bei Begehungen und Überprüfungen vor Ort.
Dokumentation
Erfüllungsgrad der Grundschutz-Anforderungen dokumentieren
Erfüllungsgrad | Beschreibung |
---|---|
ja | wenn die Anforderung durch geeignete Maßnahmen vollständig, wirksam und angemessen erfüllt wird |
teilweise | wenn die Anforderung nur teilweise erfüllt wird |
nein | wenn die Anforderung nicht erfüllt wird, geeignete Maßnahmen also größtenteils noch nicht umgesetzt sind |
entbehrlich | wenn die Erfüllung einer Anforderung nicht notwendig ist, da den möglichen Gefährdungen mit mindestens gleichwertigen Ersatzmaßnahmen entgegengewirkt wird ( erübrigen sich Passwortregeln, wenn Chipkarten zusätzlich für die Authentisierung eingesetzt werden) oder wenn die Empfehlungen für den betrachteten Einsatzzweck nicht relevant sind (so ist die Anforderung zur Absicherung von Fernwartung nur dann bedeutsam, wenn tatsächlich auch Systeme von entfernten Standorten aus gewartet werden) |
- Entbehrlich
- Wird die Erfüllung einer Anforderung auf „entbehrlich“ gesetzt, weil Alternativmaßnahmen ergriffen wurden, muss nachgewiesen werden, dass diese Maßnahmen die bestehenden Risiken angemessen minimieren.
- Identifizieren Sie hierfür über die Kreuzreferenztabelle des jeweiligen Bausteins die zugehörigen elementaren Gefährdungen.
- Wurden Alternativmaßnahmen ergriffen, begründen Sie, dass diese das von den relevanten Gefährdungen ausgehende Risiko angemessen verringern.
- Generell gilt, dass Risiken aufgrund der Nichterfüllung von Basis-Anforderungen nicht übernommen werden können.
- Anforderungen dürfen darüber hinaus nicht quasi automatisch durch pauschale Akzeptanz oder pauschalen Ausschluss einer elementaren Gefährdung als „entbehrlich“ eingestuft werden.
- Nachvollziehbarkeit
Damit die Ergebnisse des Grundschutz-Checks später und auch von Dritten nachvollzogen und überprüft werden können, ist es wichtig, dass Sie diese sorgfältig dokumentieren.
- Begründungen
- Vergessen Sie nicht, bei Anforderungen, die Sie als entbehrlich, nur teilweise oder überhaupt nicht erfüllt eingestuft haben, in der Dokumentation Ihre Begründung hierfür anzugeben.
- Formale Angaben
Zur Dokumentation gehören auch formale Angaben.
- Bei jedem Interview angeben
- Zielobjekt
- Datum
- Wer es durchgeführt hat
- Wer befragt wurde
Checklisten
- Dokumentation des Grundschutz-Checks mit Hilfsmitteln vereinfachen
- So finden Sie unter den Hilfsmitteln zum Grundschutz entsprechende Checklisten für alle Bausteine (zum Download)
Der Grundschutz-Check wird auch durch eine Reihe an Tools unterstützt, die auf die Grundschutz-Methodik zugeschnitten sind.
- Bei Verwendung eines solchen Werkzeugs haben Sie den zusätzlichen Vorteil, dass die Daten der Strukturanalyse für die Dokumentation des Grundschutz-Checks konsistent übernommen werden.
Tool-Unterstützung
Sowohl die Formulare in den Hilfsmitteln zum Grundschutz als auch die Masken in den Grundschutz-Werkzeugen bieten Felder an, in die Sie Angaben zur Umsetzung der als fehlend erkannten Maßnahmen eintragen können (Umsetzungsfristen, Verantwortliche, voraussichtliche Kosten).
- Diese Angaben sind für die Realisierungsplanung wichtig.
- Beim Grundschutz-Check ist es noch nicht erforderlich, diese Felder auszufüllen.
Beispiel
- Bewertung des Status einer Anforderung
Einige Anforderungen aus
- Prozess-Baustein ISMS.1 Sicherheitsmanagement
- System-Baustein SYS.2.1 Allgemeiner Client
Entscheidungsprozess
Vollständig umgesetzt
Baustein.1 enthält unter anderem die Basis-Anforderung
- A1: Übernahme der Gesamtverantwortung für Informationssicherheit durch die Leitungsebene
mit insgesamt sechs durch das Verb MUSS als verpflichtend gekennzeichneten Teilanforderungen
„Die Leitungsebene MUSS die Gesamtverantwortung für Informationssicherheit in der Institution übernehmen, sodass dies für alle Beteiligten deutlich erkennbar ist.
- Die Leitungsebene der Institution MUSS den Sicherheitsprozess initiieren, steuern und kontrollieren.
- Die Leitungsebene MUSS Informationssicherheit vorleben.
Die Behörden- bzw. Unternehmensleitung MUSS die Zuständigkeiten für Informationssicherheit festlegen und die zuständigen Mitarbeiter mit den erforderlichen Kompetenzen und Ressourcen ausstatten.
- Die Leitungsebene MUSS sich regelmäßig über den Status der Informationssicherheit informieren lassen, insbesondere MUSS sie sich über mögliche Risiken und Konsequenzen aufgrund fehlender Sicherheitsmaßnahmen informieren lassen.“
Entbehrlich
Unter Umständen, etwa bei unzureichendem Know-how innerhalb einer Institution, kann es sich für eine Institution anbieten, Sicherheitsaufgaben an einen externen Informationssicherheitsbeauftragten zu delegieren.
- Dies enthebt sie allerdings nicht ihrer grundsätzlichen Verantwortung für Informationssicherheit.
- Rechte und Pflichten des externen sind daher vorab festzulegen und vertraglich zu fixieren.
- In.1.A5 Vertragsgestaltung bei Bestellung eines externen Informationssicherheitsbeauftragten wird diese Basis-Anforderung näher spezifiziert.
- Wird die Rolle des durch einen eigenen Mitarbeiter wahrgenommen, ist die Erfüllung dieser Anforderung selbstverständlich entbehrlich.
Teilweise erfüllt
Der Baustein SYS.2.1 Allgemeiner Client, dessen Anwendung für jede Gruppe von Clients in einem Informationsverbund verbindlich ist, enthält unter anderem die Basis-Anforderung SYS.2.1.A2: Rollentrennung mit Vorgaben für die Beschränkung der Benutzerrechte.
Sie lautet wie folgt
- „Der Client MUSS so eingerichtet werden, dass normale Tätigkeiten nicht mit Administrationsrechten erfolgen.
- Nur Administratoren DÜRFEN Administrationsrechte erhalten.
- Es DÜRFEN nur Administratoren die Systemkonfiguration ändern, Anwendungen installieren bzw. entfernen oder Systemdateien modifizieren bzw. löschen können.
- Benutzer DÜRFEN ausschließlich lesenden Zugriff auf Systemdateien haben.
Ablauf, Rahmenbedingungen und Anforderungen an administrative Aufgaben sowie die Aufgabentrennungen zwischen den verschiedenen Rollen der Benutzer des IT-Systems SOLLTEN in einem Benutzer- und Administrationskonzept festgeschrieben werden.“
Wird bei der Überprüfung der Umsetzung dieser Anforderung für eine gegebene Gruppe von Clients festgestellt, dass die Systeme so eingerichtet sind, dass übliche Benutzeraktivitäten nur mit entsprechend eingeschränkten Rechten ausgeübt werden und Systemzugriffe Administratoren vorbehalten sind, so ist zumindest ein Teil der Anforderung erfüllt.
- Das Fehlen eines expliziten Benutzer- und Administrationskonzepts, ohne dass hierfür ein stichhaltiger Grund vorliegt, führt jedoch zu der Einstufung, dass diese Anforderung nur teilweise erfüllt ist.
Nicht erfüllt
Die Anforderung SYS.2.1.A2: Rollentrennung des Bausteins SYS.2.1 Allgemeiner Client wäre hingegen nicht erfüllt, wenn zwar ein solches Konzept vorliegt, dieses aber die Vorgaben dieser Basis-Anforderung nur bedingt widerspiegelt, und insbesondere die geprüften Clients deutliche Abweichungen von den verpflichtenden Anforderungen aufweisen.
Es kann Gründe dafür geben, dass einzelne Systeme auch von Benutzern, die ansonsten keine derartigen Berechtigungen haben, mit Administrationsrechten benutzt werden können, beispielsweise weil eine benötigte Spezialsoftware ansonsten nicht funktionieren würde.
- In diesem Fall müsste das aus der Nichterfüllung dieser Basis-Anforderung resultierende Risiko mit zusätzlichen Maßnahmen begrenzt werden.
Dokumentation
Als Beispiel für die Dokumentation des Grundschutz-Checks zeigt der folgende Auszug dieser Überprüfung für die RECPLAST die Ergebnisse für drei Basis-Anforderungen und eine Standard-Anforderung des Bausteins ISMS.1 Sicherheitsmanagement.
- Dieser Baustein ist für den gesamten Informationsverbund anzuwenden, im Beispiel also für das gesamte Unternehmen.
Eine ausführliche Dokumentation des Grundschutz-Checks zu diesem Baustein und zu weiteren ausgewählten Bausteinen finden Sie in Kapitel 6 des Beispieldokuments.
- Dokumentation des Grundschutz-Checks
Anforderung | Verantwortung | Status | Umsetzung |
---|---|---|---|
ISMS.1.A1 | Institutionsleitung | erfüllt | Die Geschäftsführung hat die Erstellung der Leitlinie initiiert
|
ISMS.1.A5 | Institutionsleitung | entbehrlich | Der Informationssicherheitsbeauftragte ist ein Mitarbeiter der RECPLAST. |
ISMS.1.A7 | () | teilweise | Alle Mitarbeiter, die Maßnahmen im Sinne der Informationssicherheit umsetzen, sind verpflichtet, diese zu dokumentieren und dem per E-Mail zuzusenden.
|
ISMS.1.A11 | () | erfüllt | Alle Dokumente und Prozesse werden einmal jährlich einem internen Audit unterzogen.
|
Anhang
Siehe auch
Dokumentation
Links
Projekt
Weblinks