Diskussion:IT-Grundschutz/Grundschutz-Check

Aus Foxwiki
Version vom 31. Oktober 2024, 14:42 Uhr von Dirkwagner (Diskussion | Beiträge) (Die Seite wurde neu angelegt: „'''Beispiele: Grundschutz-Check''' == Beschreibung == Als Beispiel für die Dokumentation des Grundschutz-Checks zeigt der folgende Auszug dieser Überprüfung für die RECPLAST die Ergebnisse für drei Basis-Anforderungen und eine Standard-Anforderung des Bausteins ''ISMS.1 Sicherheitsmanagement'' * Dieser Baustein ist für den gesamten Informationsverbund anzuwenden, im Beispiel also für das gesamte Unternehmen Eine ausführliche Dokumentation de…“)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)

Beispiele: Grundschutz-Check

Beschreibung

Als Beispiel für die Dokumentation des Grundschutz-Checks zeigt der folgende Auszug dieser Überprüfung für die RECPLAST die Ergebnisse für drei Basis-Anforderungen und eine Standard-Anforderung des Bausteins ISMS.1 Sicherheitsmanagement

  • Dieser Baustein ist für den gesamten Informationsverbund anzuwenden, im Beispiel also für das gesamte Unternehmen

Eine ausführliche Dokumentation des Grundschutz-Checks zu diesem Baustein und zu weiteren ausgewählten Bausteinen finden Sie in Kapitel 6 des Beispieldokuments

Dokumentation des Grundschutz-Checks
Anforderung Verantwortung Status Umsetzung
ISMS.1.A1 Institutionsleitung erfüllt Die Geschäftsführung hat die Erstellung der Leitlinie initiiert
  • Die Leitlinie wurde von der Geschäftsführung unterzeichnet
  • Die Geschäftsführung hat die gesamte Verantwortung für das Thema Informationssicherheit übernommen und delegiert an den die Umsetzung der geforderten Maßnahmen
  • Einmal monatlich erhält die Geschäftsführung einen Management-Report, kontrolliert den Umsetzungsstand der Maßnahmen, initiiert bei Bedarf weitere Maßnahmen und bewilligt das entsprechende Budget
ISMS.1.A5 Institutionsleitung entbehrlich Der Informationssicherheitsbeauftragte ist ein Mitarbeiter der RECPLAST
ISMS.1.A7 () teilweise Alle Mitarbeiter, die Maßnahmen im Sinne der Informationssicherheit umsetzen, sind verpflichtet, diese zu dokumentieren und dem per E-Mail zuzusenden
  • Eine Auswertung und ausreichende Dokumentation der umgesetzten Maßnahmen gibt es nicht
  • Umsetzungszeitpunkt für ausführliche Dokumentation: 30.04
ISMS.1.A11 () erfüllt Alle Dokumente und Prozesse werden einmal jährlich einem internen Audit unterzogen
  • Der hat dafür die entsprechende fachliche Weisungsbefugnis für die Mitarbeiter, in deren Verantwortungsbereich einzelne Dokumente und Prozesse fallen
Bewertung des Status einer Anforderung

Einige Anforderungen aus

Umsetzungsgrad

Umsetzungsgrad
Vollständig
Entbehrlich
Teilweise
Nicht

Vollständig

Baustein.1 enthält unter anderem die Basis-Anforderung

A1: Übernahme der Gesamtverantwortung für Informationssicherheit durch die Leitungsebene
mit insgesamt sechs durch das Verb MUSS als verpflichtend gekennzeichneten Teilanforderungen
„Die Leitungsebene MUSS die Gesamtverantwortung für Informationssicherheit in der Institution übernehmen, sodass dies für alle Beteiligten deutlich erkennbar ist
  • Die Leitungsebene der Institution MUSS den Sicherheitsprozess initiieren, steuern und kontrollieren
  • Die Leitungsebene MUSS Informationssicherheit vorleben.

Die Behörden- bzw. Unternehmensleitung MUSS die Zuständigkeiten für Informationssicherheit festlegen und die zuständigen Mitarbeiter mit den erforderlichen Kompetenzen und Ressourcen ausstatten

  • Die Leitungsebene MUSS sich regelmäßig über den Status der Informationssicherheit informieren lassen, insbesondere MUSS sie sich über mögliche Risiken und Konsequenzen aufgrund fehlender Sicherheitsmaßnahmen informieren lassen.“

Entbehrlich

Unter Umständen, etwa bei unzureichendem Know-how innerhalb einer Institution, kann es sich für eine Institution anbieten, Sicherheitsaufgaben an einen externen Informationssicherheitsbeauftragten zu delegieren

  • Dies enthebt sie allerdings nicht ihrer grundsätzlichen Verantwortung für Informationssicherheit
  • Rechte und Pflichten des externen sind daher vorab festzulegen und vertraglich zu fixieren
  • In.1.A5 Vertragsgestaltung bei Bestellung eines externen Informationssicherheitsbeauftragten wird diese Basis-Anforderung näher spezifiziert
  • Wird die Rolle des durch einen eigenen Mitarbeiter wahrgenommen, ist die Erfüllung dieser Anforderung selbstverständlich entbehrlich

Teilweise

Der Baustein SYS.2.1 Allgemeiner Client, dessen Anwendung für jede Gruppe von Clients in einem Informationsverbund verbindlich ist, enthält unter anderem die Basis-Anforderung SYS.2.1.A2: Rollentrennung mit Vorgaben für die Beschränkung der Benutzerrechte

Sie lautet wie folgt

„Der Client MUSS so eingerichtet werden, dass normale Tätigkeiten nicht mit Administrationsrechten erfolgen
  • Nur Administratoren DÜRFEN Administrationsrechte erhalten
  • Es DÜRFEN nur Administratoren die Systemkonfiguration ändern, Anwendungen installieren bzw. entfernen oder Systemdateien modifizieren bzw. löschen können
  • Benutzer DÜRFEN ausschließlich lesenden Zugriff auf Systemdateien haben.

Ablauf, Rahmenbedingungen und Anforderungen an administrative Aufgaben sowie die Aufgabentrennungen zwischen den verschiedenen Rollen der Benutzer des IT-Systems SOLLTEN in einem Benutzer- und Administrationskonzept festgeschrieben werden.“

Wird bei der Überprüfung der Umsetzung dieser Anforderung für eine gegebene Gruppe von Clients festgestellt, dass die Systeme so eingerichtet sind, dass übliche Benutzeraktivitäten nur mit entsprechend eingeschränkten Rechten ausgeübt werden und Systemzugriffe Administratoren vorbehalten sind, so ist zumindest ein Teil der Anforderung erfüllt

  • Das Fehlen eines expliziten Benutzer- und Administrationskonzepts, ohne dass hierfür ein stichhaltiger Grund vorliegt, führt jedoch zu der Einstufung, dass diese Anforderung nur teilweise erfüllt ist

Nicht erfüllt

Anforderung SYS.2.1.A2: Rollentrennung des Bausteins SYS.2.1 Allgemeiner Client wäre hingegen nicht erfüllt

  • wenn zwar ein solches Konzept vorliegt
  • dieses aber die Vorgaben dieser Basis-Anforderung nur bedingt widerspiegelt
  • insbesondere die geprüften Clients deutliche Abweichungen von den verpflichtenden Anforderungen aufweisen

Es kann Gründe dafür geben, dass einzelne Systeme auch von Benutzern, die ansonsten keine derartigen Berechtigungen haben, mit Administrationsrechten benutzt werden können

  • beispielsweise weil eine benötigte Spezialsoftware ansonsten nicht funktionieren würde
  • In diesem Fall müsste das aus der Nichterfüllung dieser Basis-Anforderung resultierende Risiko mit zusätzlichen Maßnahmen begrenzt werden