DER IT-GRUNDSCHUTZ NACH BSI-LOS14: Unterschied zwischen den Versionen

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen
 
(38 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 33: Zeile 33:
 
*Sicherheitsvorfälle untersuchen
 
*Sicherheitsvorfälle untersuchen
 
*Sensibilisierungs- und Schulungsmaßnahmen zur Informationssicherheit initiieren und koordinieren
 
*Sensibilisierungs- und Schulungsmaßnahmen zur Informationssicherheit initiieren und koordinieren
 +
=Definition des Informationsverbundes=
 +
*Festlegen, welche kritischen Geschäftsprozesse, Fachaufgaben oder Teile der Institution der Geltungsbereich beinhalten soll.
 +
*Den Geltungsbereich eindeutig abgrenzen.
 +
*Schnittstellen zu externen Partnern beschreiben.
 +
=Beispiele für Sicherheitsziele=
 +
*hohe Verlässlichkeit des Handelns, auch in Bezug auf den Umgang mit Informationen (Verfügbarkeit, Integrität, Vertraulichkeit)
 +
*Gewährleistung der guten Reputation der Institution in der Öffentlichkeit
 +
*Erhaltung der in Technik, Informationen, Arbeitsprozesse und Wissen investierten Werte
 +
*Sicherung der hohen, möglicherweise unwiederbringlichen Werte der verarbeiteten Informationen
 +
*Gewährleistung der aus gesetzlichen Vorgaben resultierenden Anforderungen
 +
*Schutz von natürlichen Personen hinsichtlich ihrer körperlichen und geistigen Unversehrtheit
 +
=Grundlegenden Inhalte für eine Sicherheitsleitlinie=
 +
*Stellenwert der Informationssicherheit und Bedeutung der wesentlichen Informationen, Geschäftsprozesse und der IT für die Aufgabenerfüllung
 +
*Bezug der Informationssicherheitsziele zu den Geschäftszielen oder Aufgaben der Institution
 +
*Sicherheitsziele und die Kernelemente der Sicherheitsstrategie für die Geschäftsprozesse und die eingesetzte IT
 +
*Zusicherung, dass die Sicherheitsleitlinie von der Institutionsleitung durchgesetzt wird
 +
*Leitaussagen zur Erfolgskontrolle
 +
*Beschreibung der geplanten Organisationsstruktur
 +
*Aufgaben und Zuständigkeiten im Sicherheitsprozess sollten aufgezeigt werden
 +
*Programme zur Förderung der Informationssicherheit durch Schulungs- und Sensibilisierungsmaßnahmen können angekündigt werden
 +
*wichtige Gefährdungen, relevante gesetzliche Regelungen etc. können eingangs skizziert werden.
 +
=Erstellung einer Sicherheitsleitlinie=
 +
*zu beteiligende Organisationseinheiten für die Sicherheitsleitlinie identifizieren
 +
*gemeinsam Geltungsbereich und Inhalte festlegen
 +
*Inkraftsetzung der Sicherheitsleitlinie durch die Leitungsebene veranlassen
 +
*Sicherheitsleitlinie bekannt geben
 +
*Sicherheitsleitlinie regelmäßig überprüfen und gegebenenfalls aktualisieren
 +
=Grundregeln bei der Definition von Rollen im Informationssicherheitsmanagement=
 +
*Die Gesamtverantwortung für die ordnungsgemäße und sichere Aufgabenerfüllung obliegt der Leitungsebene.
 +
*Es ist mindestens eine Person zum ISB zu ernennen, die den Informationssicherheitsprozess koordiniert und steuert.
 +
*Alle Mitarbeiter sind gleichermaßen sowohl für ihre originären Aufgaben als auch für die Aufrechterhaltung der Informationssicherheit an ihrem Arbeitsplatz und in ihrer Umgebung verantwortlich.
 +
*Informationssicherheit muss in Abläufe und Prozesse innerhalb der gesamten Institution integriert und Ansprechpartner müssen festgelegt werden. Ziel ist es, dass bei allen strategischen Entscheidungen die notwendigen Sicherheitsaspekte frühzeitig berücksichtigt werden
 +
=Aufbau der IS-Organisation in einer kleinen Institution=
  
 +
[[Datei:bsi-1.png]]
  
- Erstellung der Leitlinie zur Informationssicherheit
+
*Informationssicherheitsbeauftragter (ISB)
Bereitstellung von finanziellen, personellen und zeitlichen Ressourcen
+
*Betrieblicher Datenschutzbeauftragten (bDSB)
- Einbindung aller Mitarbeiter in den Sicherheitsprozess
 
  
- Erstellung einer Sicherheitskonzeption Umsetzung der - Sicherheitskonzeption
+
=Organisation des Sicherheitsprozesses=
- Aufrechterhaltung der Informationssicherheit im laufenden - Betrieb und kontinuierliche Verbesserung
+
*Rollen für die Gestaltung des Informationssicherheitsprozesses festlegen
 +
*Aufgaben und Verantwortungsbereiche den Rollen zuordnen
 +
*Personelle Ausstattung der Rollen festlegen
 +
*IS-Organisation dokumentieren
 +
*Informationssicherheitsmanagement in die Abläufe und Prozesse integrieren
 +
=Allgemeine Einflussfaktoren=
 +
Informationssicherheit auf einem angemessenen Niveau trägt
 +
einen elementaren Anteil daran, dass eine Institution ihre
 +
Geschäftsziele erreichen kann. Daher müssen die folgenden
 +
Einflussfaktoren betrachtet werden:
 +
*Geschäftsziele: Welche Faktoren sind wesentlich für den Erfolg des Unternehmens oder der Behörde? Welche Produkte, Angebote und Aufträge bilden die Grundlage der Geschäftstätigkeit? Was sind die generellen Ziele der Institution? Welche Rolle spielt Informationssicherheit hierbei?
 +
*Organisationsstruktur: Wie ist die Institution organisiert und strukturiert? Welche Managementsysteme sind vorhanden (beispielsweise Risikomanagement oder Qualitätsmanagement)?
 +
*Zusammenarbeit mit Externen: Wer sind die wichtigsten Kunden, Partner und Gremien? Welche grundlegenden Anforderungen und Erwartungen an die Informationssicherheit der Institution bringen sie mit? Wer sind die wichtigsten Dienstleister und Zulieferer? Welche Rolle spielen diese für die Informationssicherheit der Institution?
 +
*Strategischer Kontext: Was sind die wesentlichen Herausforderungen für die Institution? Wie ist die Wettbewerbsposition?
 +
=Wichtige interne und externe Rahmenbedingungen abklären=
 +
*Welche Geschäftsprozesse gibt es in der Institution und wie hängen diese mit den Geschäftszielen zusammen?
 +
*Welche Geschäftsprozesse hängen von einer funktionierenden Informationstechnik ab?
 +
*Welche Informationen werden bei diesen Geschäftsprozessen verarbeitet?
 +
*Welche Informationen sind besonders wichtig und damit in Bezug auf Vertraulichkeit, Integrität und Verfügbarkeit schützenswert, und warum (z. B. personenbezogene Daten, Kundendaten, sensible Firmeninterna)?
 +
*Zu jedem Geschäftsprozess und zu jeder Fachaufgabe muss ein verantwortlicher Ansprechpartner benannt werden.
 +
*Was sind die gesetzlichen Rahmenbedingungen (nationale und internationale Gesetze und Bestimmungen)?
 +
*Wie sehen Anforderungen von Kunden, Lieferanten und Geschäftspartnern, die aktuelle Marktlage, Wettbewerbssituation und weitere relevante marktspezifische Abhängigkeiten aus?
 +
*Was sind branchenspezifische Sicherheitsstandards?
 +
=Erfassung der relevanten Objekte=
 +
*Geschäftsprozess oder Fachaufgabe: Name und (falls erforderlich) Beschreibung, Fachverantwortlicher
 +
*Anwendung: Name, (falls erforderlich) Beschreibung und dazugehöriger Geschäftsprozess
 +
*IT-, ICS-Systeme und sonstige Objekte: Name, Plattform und sofern sinnvoll Aufstellungsort
 +
*Betriebsrelevante Räume, die ein höheres Sicherheitsniveau erfordern (z.B. Serverräume): Art, Raumnummer und Gebäude
 +
=Erstellung eines grafischen Netzplans=
 +
*IT-Systeme, d. h. Clients und Server sowie aktive Netzkomponenten,
 +
*Netzverbindungen zwischen diesen Systemen,
 +
*Verbindungen des betrachteten Bereichs nach außen.
 +
=Konzeption und Planung des Sicherheitsprozesses=
 +
*Ansprechpartner für alle Geschäftsprozesse und Fachaufgaben benennen
 +
*Grobeinschätzung der Wertigkeit und des Sicherheitsniveaus von Informationen, Geschäftsprozessen und Fachaufgaben durchführen
 +
*Interne und externe Rahmenbedingungen ermitteln
 +
*Bedeutung der Geschäftsprozesse, Fachaufgaben und Informationen abschätzen
 +
*Allgemeine Informationssicherheitsziele festlegen
 +
*Konsolidierte Übersicht der vorhandenen Assets mit den zuvor gewonnenen Erkenntnissen erstellen
 +
=Schematisches Vorgehen nach der Basis-Absicherung=
  
Die Sicherheitsleitlinie sollte kurz und bündig formuliert sein, da sich mehr als 20 Seiten in der Praxis nicht bewährt haben. Sie sollte mindestens welche Informationen beinhalten?
+
[[Datei:bsi-2.png]]
• Stellenwert der Informationssicherheit und Bedeutung der wesentlichen Informationen und der IT für die Aufgabenerfüllung,
 
• Bezug der Informationssicherheitsziele zu den Geschäftszielen oder Aufgaben der Institution,
 
• Sicherheitsziele und die Kernelemente der Sicherheitsstrategie für die eingesetzte IT,
 
• Zusicherung, dass die Sicherheitsleitlinie von der Institutionsleitung durchgesetzt wird, und Leitaussagen zur Erfolgskontrolle und
 
• Beschreibung der für die Umsetzung des Informationssicherheitsprozesses etablierten Organisationsstruktur.
 
  
 +
==Auswahl und Priorisierung==
 +
Der betrachtete Informationsverbund muss mit Hilfe der vorhandenen Bausteine aus dem IT Grundschutz-Kompendium nachgebildet werden.
 +
==IT-Grundschutz-Check==
 +
In diesem Schritt wird überprüft, ob oder inwieweit die in den Basisanforderungen nach IT-Grundschutz formulierten Vorgaben bereits erfüllt sind und welche Sicherheitsmaßnahmen noch fehlen.
 +
==Realisierung==
 +
Für die bisher nicht erfüllten Basisanforderungen müssen geeignete Sicherheitsmaßnahmen festgelegt und umgesetzt werden.
 +
==Auswahl der folgenden Vorgehensweise==
 +
Die Basis-Absicherung dient als Einstiegsvorgehensweise. Es muss daher festgelegt werden, zu welchem Zeitpunkt und mit welcher IT-Grundschutz-Vorgehensweise das Sicherheitsniveau weiter angehoben werden soll.
 +
=Modellierung nach IT-Grundschutz=
 +
Um einen meist komplexen Informationsverbund nach ITGrundschutz zu modellieren, müssen die passenden Bausteine aus dem IT-Grundschutz-Kompendium ausgewählt und umgesetzt werden
  
Aufbau einer IS Organisation?
+
Das erstellte IT-Grundschutz-Modell ist unabhängig davon, ob der Informationsverbund aus bereits im Einsatz befindlichen Komponenten besteht oder ob es sich um einen Informationsverbund handelt, der geplant wird. Das Modell kann daher unterschiedlich verwendet werden:
  
Was sind die Aufgaben des IT-Sicherheitsbeauftragten?
+
*Der ISB kann mit dem IT-Grundschutz-Modell eines bestehenden Informationsverbundes auf Basis der Bausteine relevante Sicherheitsanforderungen identifizieren. Es kann in Form eines Prüfplans benutzt werden, um einen Soll-IstVergleich durchzuführen.
Nenne mindestens 4
+
*Das IT-Grundschutz-Modell eines geplanten Informationsverbundes stellt hingegen einen Entwicklungsplan dar. Es beschreibt mit den ausgewählten Bausteinen, welche Sicherheitsanforderungen bei der Realisierung des Informationsverbunds erfüllt werden müssen.
den Informationssicherheitsprozess zu steuern und bei allen damit zusammenhängenden Aufga- ben mitzuwirken,
+
=Die Einordnung der Modellierung und die möglichen Ergebnisse=
• die Leitungsebene bei der Erstellung der Leitlinie zur Informationssicherheit zu unterstützen,
+
[[Datei:bsi-3.png]]
• die Erstellung des Sicherheitskonzepts, des Notfallvorsorgekonzepts und anderer Teilkonzepte und System-Sicherheitsrichtlinien zu koordinieren sowie weitere Richtlinien und Regelungen zur Informationssicherheit zu erlassen,
 
• die Realisierung von Sicherheitsmaßnahmen zu initiieren und zu überprüfen,
 
• der Leitungsebene und dem IS-Management-Team über den Status quo der Informationssicher-
 
heit zu berichten,
 
• sicherheitsrelevante Projekte zu koordinieren,
 
• Sicherheitsvorfälle zu untersuchen und
 
• Sensibilisierungs- und Schulungsmaßnahmen zur Informationssicherheit zu initiieren und koordinieren.
 
  
Was sind die Aufgaben des IS Management Teams?
+
=Einteilung der Sicherheitsanforderungen=
Aufgaben des IS-Management-Teams sind insbesondere:
+
*bereits erfüllte Sicherheitsanforderungen,
• Informationssicherheitsziele und -strategien zu bestimmen sowie die Leitlinie zur Informationssi- cherheit zu entwickeln,
+
*die bei Durchführung des Soll-Ist-Vergleichs als unzureichend oder gar nicht erfüllt identifizierten Anforderungen
die Umsetzung der Sicherheitsleitlinie zu überprüfen,
+
*Anforderungen, die sich für die in Planung befindlichen Anteile des Informationsverbunds ergeben.
• den Sicherheitsprozess zu initiieren, zu steuern und zu kontrollieren,
+
=Zuordnung von Bausteinen=
• bei der Erstellung des Sicherheitskonzepts mitzuwirken,
+
*Vollständiger Titel und Nummer des Bausteins (z. B. SYS.3.1 Laptop)
• zu überprüfen, ob die im Sicherheitskonzept geplanten Sicherheitsmaßnahmen wie beabsichtigt funktionieren sowie geeignet und wirksam sind,
+
*Zielobjekt oder Zielgruppe: Dies kann z. B. die Identifikationsnummer einer Komponente oder einer Gruppe bzw. der Name eines Gebäudes oder einer Organisationseinheit sein.
• die Schulungs- und Sensibilisierungsprogramme für Informationssicherheit zu konzipieren sowie
+
*Ansprechpartner: Diese Spalte dient zunächst nur als Platzhalter. Der Ansprechpartner wird nicht im Rahmen der Modellierung, sondern erst bei der Planung des eigentlichen Soll-Ist-Vergleichs im IT-Grundschutz-Check ermittelt.
• den IT-Koordinierungsausschuss und die Leitungsebene in Fragen der Informationssicherheit zu
+
*Reihenfolge: Es sollte die Umsetzungsreihenfolge (R1, R2, R3)des Bausteins eingetragen werden.
beraten.
+
*Hinweise: In dieser Spalte können ergänzende Informationen oder Begründungen für die Modellierung dokumentiert werden.
 +
=Modellierung eines Informationsverbunds=
 +
*Kapitel „Schichtenmodell und Modellierung“ aus dem ITGrundschutz-Kompendium systematisch durcharbeiten.
 +
*Für jeden Baustein des IT-Grundschutz-Kompendiumsermitteln, auf welche Zielobjekte er im betrachteten Informationsverbund anzuwenden ist.
 +
*Zuordnung von Bausteinen zu Zielobjekten („IT-Grundschutz-Modell“) sowie die entsprechendenAnsprechpartner dokumentieren.
 +
*Zielobjekte, die nicht geeignet modelliert werden können,vormerken.
 +
*Reihenfolge für die Umsetzung der Bausteine festlegen
 +
=Organisatorische Vorarbeiten des IT-Grundschutz-Checks=
 +
*Hausinterne Dokumente mit Verfügungen und Regelungen sichten und Zuständigkeiten für diese Unterlagen klären.
 +
*Feststellen, in welchem Umfang externe Stellen beteiligt werden müssen.
 +
*Hauptansprechpartner für jeden in der Modellierung angewandten Baustein festlegen.
 +
=Soll ist Vergleich der Bausteine=
 +
==entbehrlich==
 +
Die Erfüllung der Anforderung ist in der vorgeschlagenen Art nicht notwendig, weil dieAnforderung im betrachteten Informationsverbund nicht relevant ist (z. B. weil Dienstenichtaktiviert wurden) oder bereits durch Alternativmaßnahmen erfüllt wurde.
 +
==ja==
 +
Zu der Anforderung wurden geeignete Maßnahmen vollständig, wirksam und angemessen umgesetzt.
 +
==teilweise==
 +
Die Anforderung wurde nur teilweise umgesetzt.
 +
==nein==
 +
Die Anforderung wurde noch nicht erfüllt, alsogeeignete Maßnahmen sind größtenteils nochnicht umgesetzt worden.
 +
=Durchführung des Soll-Ist-Vergleichs=
 +
*Je nach Fachgebiet vorab Checklisten erstellen.
 +
*Umsetzungsstatus der einzelnen Anforderungen mit dem Ansprechpartner erarbeiten.
 +
*Falls erforderlich, Umsetzungsstatus anhand von Stichproben am Objekt verifizieren.
  
PS:
+
=Dokumentation des IT-Grundschutz-Checks=
Im IS-Management-Team sollten mindestens folgende Rollen vertreten sein: ein IT-Verantwortlicher, der IT-Sicherheitsbeauft- ragte und ein Vertreter der Anwender.
+
*Die Nummer und die Bezeichnung des Objektes oder derGruppe von Objekten, welcher der Baustein bei der Modellierung zugeordnet wurde,
 +
*der Standort der zugeordneten Objekte bzw. Gruppe von Objekten,
 +
*das Erfassungsdatum und der Name des Erfassers und
 +
*die befragten Ansprechpartner.
 +
=Ergebnisse des Soll-Ist-Vergleichs sollten folgendes enthalten=
 +
==Umsetzungsgrad (entbehrlich/ja/teilweise/nein)==
 +
Der im Interview ermittelte Umsetzungsstatus der jeweiligenAnforderung ist zu erfassen.
 +
==Termin für die Umsetzung==
 +
Ein solches Feld ist sinnvoll, auch wenn es während eines ITGrundschutz-Checks im Allgemeinen nicht ausgefüllt wird.Es dient als Platzhalter, um in der Realisierungsplanung an dieser Stelle zu dokumentieren, bis zu welchem Termin die Anforderung vollständig umgesetzt sein soll.
 +
==Verantwortliche==
 +
Falls es bei der Durchführung des Soll-Ist-Vergleichs eindeutig ist, welche Mitarbeiter für die vollständige Umsetzung einer noch nicht erfüllten Anforderung oder Maßnahme verantwortlich sind, sollte das namentlich in diesem Feld dokumentiert werden. Andernfalls ist im Zuge der späteren Realisierungsplanung ein Verantwortlicher zu bestimmen.
 +
==Bemerkungen/Begründungen==
 +
Ein solches Feld ist wichtig, um getroffene Entscheidungenspäter nachvollziehen zu können. Bei Anforderungen, deren Umsetzung entbehrlich erscheint, ist hier die Begründung zu nennen. Bei Anforderungen, die noch nicht oder nur teilweise umgesetzt sind, sollte in diesem Feld dokumentiert werden, welche Maßnahmen noch umgesetzt werden müssen. In dieses Feld sollten auch alle anderen Bemerkungen eingetragen werden, die bei der Beseitigung von Defiziten hilfreich oder im Zusammenhang mit der Anforderung zu berücksichtigen sind.
 +
==Defizite/Kostenschätzung==
 +
Für Anforderungen, die nicht oder nur teilweise erfüllt wurden, ist das damit verbundene Risiko in geeigneter Form zu ermitteln und zu dokumentieren. Bei solchen Maßnahmen sollte außerdem geschätzt werden, welchen finanziellen und personellen Aufwand die Beseitigung der Defizite erfordert.
 +
=Dokumentation der Ergebnisse=
 +
*Stamminformationen über jedes Zielobjekt erfassen
 +
*Informationen zum IT-Grundschutz-Check und zum Umsetzungsstatus dokumentieren
 +
*Felder beziehungsweise Platzhalter für die Realisierungsplanung vorsehen
 +
=Aktionspunkte zu Umsetzung der Sicherheitskonzeption=
 +
*Fehlende oder nur teilweise umgesetzte IT-GrundschutzAnforderungen sowie ergänzende Sicherheitsmaßnahmen zusammenfassen
 +
*Sicherheitsmaßnahmen formulieren, welche die Basisanforderungen erfüllen
 +
*Sicherheitsmaßnahmen konsolidieren, das heißt, überflüssige Maßnahmen streichen, allgemeine Maßnahmen an die Gegebenheiten anpassen und alle Maßnahmen auf Eignung prüfen
 +
*Einmalige und wiederkehrende Kosten und Aufwand für die umzusetzenden Maßnahmen ermitteln
 +
*Geeignete Ersatzmaßnahmen für nicht finanzierbare oder nicht leistbare Maßnahmen ermitteln
 +
*Entscheidung herbeiführen, welche Ressourcen für die Umsetzung der Maßnahmen eingesetzt werden sollen
 +
*Gegebenenfalls Restrisiko aufzeigen und Entscheidung der Leitungsebene darüber einholen
 +
*Umsetzungsreihenfolge für die Maßnahmen festlegen, begründen und dokumentieren
 +
*Termine für die Umsetzung festlegen und Verantwortung zuweisen
 +
*Verlauf der Umsetzung und Einhaltung der Termine überwachen
 +
*Betroffene Mitarbeiter schulen und sensibilisieren
  
- Im extremfall ist nur der IT Sicherheitsbeauftrage das gesamte IS Team
+
=Quelle=
 
+
*https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Broschueren/Leitfaden_zur_Basis-Absicherung.pdf?__blob=publicationFile&v=3
Was ist der IT Koordinierungsausschuss?
 
Der IT-Koordinierungsausschuss ist in der Regel keine Dauereinrichtung in einer Institution, sondern wird bei Bedarf (z. B. zur Planung größerer IT-Projekte) einberufen. Er hat die Aufgabe, das Zusam- menspiel zwischen dem IS-Management-Team, dem Vertreter der IT-Anwender, dem IT-Sicherheits- beauftragten und der Behörden- bzw. Unternehmensleitung zu koordinieren.
 
 
 
Was sind die Aufgaben eines Datenschutzbeauftragten?
 
Der Datenschutzbeauftragte soll dazu beitragen, dass seine Institution den Erfordernissen des Daten- schutzes umfassend Rechnung trägt. Er hat die Einhaltung der Vorschriften des Datenschutzes in allen Bereichen zu überwachen. Er nimmt seine Aufgaben im Wesentlichen durch Beratung und Kontrollen wahr.
 
 
 
Was sind die Aktionspunkte zum Aufbau einer IS- Organisation?
 
• Rollen für die Gestaltung des Informationssicherheitsprozesses festlegen
 
• Aufgaben und V erantwortungsbereiche den Rollen zuordnen
 
• Personelle Ausstattung der Rollen festlegen
 
• IS-Organisation dokumentieren
 
• Informationssicherheitsmanagement in die organisationsweiten Abläufe und Prozesse integrieren
 
 
 
Wie wird eine Sicheitskonzeption im Informationssicherheitsmanagement erstellt?
 
 
 
Wie funktioniert die Modellierung eines Informationsverbunds?
 
 
 
Für die Abbildung eines im Allgemeinen komplexen Informationsverbundes auf die Bausteine der IT- Grundschutz-Kataloge bietet es sich an, die Sicherheitsaspekte gruppiert nach bestimmten Themen zu betrachten. -- Welche Themen sind das?
 
 
 
 
 
Umsetzung der ergänzenden SIcherheitsanalyse
 
 
 
 
 
Werbungen entfernen
 
Nur 2,99 € im Monat
 
Was ist die Strategie zur Informationssicherheit als zentrale Komponente des ISMS ?
 
 
 
Was sind die Hilfsmittel zur Umsetzung der Sicherheitsstrategie?
 
 
 
was ist der Lebenszyklus eines Sicherheitskonzepts
 
 
 
Wie lauten die Aktionspunkte zum Thema: Übernahme von Verantwortung durch Leitungsebene?
 
• Die Leitungsebene wird über mögliche Risiken und Konsequenzen aufgrund fehlender Informati- onssicherheit aufgeklärt.
 
• Die Leitungsebene übernimmt die Gesamtverantwortung für Informationssicherheit.
 
• Die Leitungsebene initiiert den Informationssicherheitsprozess innerhalb der Institution.
 
 
 
Wie lauten die Aktionspunkte zur Konzeption und Planung des Sicherheitsprozesses?
 
Ansprechpartner für alle Geschäftsprozesse und Fachaufgaben benennen
 
• Grobeinschätzung der Wertigkeit von Informationen, Geschäftsprozesse und Fachaufgaben
 
durchführen
 
• Rahmenbedingungen ermitteln
 
• Bedeutung der Geschäftsprozesse, Fachaufgaben und Informationen abschätzen
 
• Allgemeine Informationssicherheitsziele festlegen
 
• Zustimmung der Leitungsebene einholen
 
 
 
Was sind die Aktionspunkte bei der Erstellung einer SIcheheitsleitlinie?
 
• Auftrag der Leitungsebene zur Erarbeitung einer Sicherheitsleitlinie einholen
 
• Geltungsbereich festlegen
 
• Entwicklungsgruppe für die Sicherheitsleitlinie einberufen
 
• Inkraftsetzung der Sicherheitsleitlinie durch die Leitungsebene veranlassen
 
• Sicherheitsleitlinie bekannt geben
 
• Sicherheitsleitlinie regelmäßig überprüfen und gegebenenfalls aktualisieren
 
 
 
Was sind die Aktionspunkte zum Aufbau einer IS- Organisation?
 
• Rollen für die Gestaltung des Informationssicherheitsprozesses festlegen
 
• Aufgaben und V erantwortungsbereiche den Rollen zuordnen
 
• Personelle Ausstattung der Rollen festlegen
 
• IS-Organisation dokumentieren
 
• Informationssicherheitsmanagement in die organisationsweiten Abläufe und Prozesse integrieren
 
 
 
Was sind die Aktionspunkte zur Bereitstellung von Ressourcen für die Informationssicherheit?
 
• Angemessenheit und Wirtschaftlichkeit im gesamten Sicherheitsprozess berücksichtigen
 
• Gleichgewicht zwischen organisatorischer und technischer Informationssicherheit sicherstellen
 
• Angemessene Ressourcen für den IT-Betrieb, das Informationssicherheitsmanagement und die Überprüfung der Informationssicherheit einfordern
 
• Gegebenenfalls auf externe Ressourcen zurückgreifen
 
 
 
Was sind die Aktionspunkte zur Einbindung aller MA in den IS Prozess
 
• Frühzeitig die Mitarbeiter und den Personal- bzw. Betriebsrat bei der Planung und Gestaltung von Sicherheitsmaßnahmen und Regelungen beteiligen
 
• Alle Mitarbeiter für die sie betreffenden Aspekte der Informationssicherheit schulen und regelmä- ßig sensibilisieren
 
• Alle Mitarbeiter über den Sinn von Sicherheitsmaßnahmen aufklären
 
• Ansprechpartner zu Sicherheitsfragen festlegen und Zuständigkeiten bekannt geben
 
• Melde- und Eskalationswege für Sicherheitsvorfälle festlegen und bekannt geben
 
• Sicherstellen, dass bei Ausscheiden oder Aufgabenwechsel von Mitarbeitern die erforderlichen Sicherheitsmaßnahmen eingehalten werden
 
 
 
Was sind die Aktionspunkte zur Definition eines Geltungsbereichs für die Sicherheitskonzeption?
 
• Festlegen, welche kritischen Geschäftsprozesse, Fachaufgaben oder Teile der Institution der Geltungsbereich beinhalten soll
 
• Den Geltungsbereich eindeutig abgrenzen
 
• Schnittstellen zu externen Partnern beschreiben
 
 
 
 
 
Werbungen entfernen
 
Nur 2,99 € im Monat
 
Was sind die Aktionspunkte zur Komplexitätreduktion durch Gruppenbildung?
 
• Bei allen Teilaufgaben der Strukturanalyse gleichartige Objekte zu Gruppen zusammenfassen
 
• Typ und Anzahl der jeweils zusammengefassten Objekte vermerken
 
 
 
Was sind die Aktionspunkte zur Erfassung der Anwendungen und der zugehörigen Informationen?
 
• Mit Einbeziehung der Fachabteilung, der Verantwortlichen für die Anwendungen und der unterstützenden IT-Abteilung herausfinden, welche Anwendungen für die betrachteten Ge- schäftsprozesse oder Fachaufgaben erforderlich sind
 
• Übersicht über die Anwendungen erstellen und mit eindeutigen Nummern oder Kürzeln kennzeichnen
 
• Für jede Anwendung die entsprechenden Geschäftsprozesse, verarbeitete Informationen, Verant- wortliche und gegebenenfalls Benutzer vermerken
 
• Für jede Anwendung vermerken, inwieweit personenbezogene Daten mit ihr verarbeitet werden
 
 
 
PS:
 
Die Art der Information wird hier für jede Anwendung kurz miterfasst, um schneller einschätzen zu können, welcher Schutzbedarf sich für die jeweiligen Anwendungen ergibt, die diese Informationen verarbeiten.
 
 
 
Was sind die Aktionspunkte zur Netzplanerhebenung?
 
• Existierende graphische Darstellungen des Netzes, beispielsweise Netztopologiepläne, sichten
 
• Netzpläne gegebenenfalls aktualisieren oder neu erstellen
 
• Existierende Zusatzinformationen über die enthaltenen IT-Systeme sichten und gegebenenfalls aktualisieren und vervollständigen
 
• Existierende Zusatzinformationen über die enthaltenen Kommunikationsverbindungen sichten und gegebenenfalls aktualisieren und vervollständigen
 
 
 
Wie lauten dei Aktionspunkte zur Erhebung der IT-Systeme?
 
• Prüfen, ob existierende Datenbanken oder Übersichten über die vorhandenen oder geplanten IT- Systeme als Ausgangsbasis für die weitere Vorgehensweise geeignet sind
 
• Liste der vernetzten und nicht-vernetzten IT-Systeme erstellen beziehungsweise aktualisieren und vervollständigen
 
• IT-Systeme beziehungsweise IT-System-Gruppen mit eindeutigen Nummern oder Kürzeln kennzeichnen
 
• Die Anwendungen den IT-Systemen (Servern, Clients, Netzkoppelelementen etc.) zuordnen, die für ihre Ausführung benötigt werden
 
 
 
Wie lauten die Aktionspunkte zur Erfassung der Räume?
 
• Liste aller bei der Erfassung der IT-Systeme notierten Liegenschaften, Gebäude und Räume erstellen
 
• Weitere Räume ergänzen, in denen schutzbedürftige Informationen aufbewahrt oder auf andere Weise verarbeitet werden
 
 
 
Was sind die Aktionspunkte zur Definition der Schutzbedarfskategorien?
 
• Typische Schadensszenarien für die Definition von Schutzbedarfskategorien betrachten
 
• Schutzbedarfskategorien "normal", "hoch" und "sehr hoch" definieren beziehungsweise an die eigene Institution anpassen
 
 
 
Was sind die Aktionspunkte zur Schutzbedarfsfestellung für Anwendungen?
 
• Schutzbedarf der erfassten Anwendungen anhand von Schadensszenarien und Fragenkatalogen ermitteln
 
• Schutzbedarf der Anwendungen und die entsprechenden Begründungen tabellarisch dokumentieren
 
 
 
Was sind die Aktionspunkte zur Schutzbedarfsfestellung bei IT Systemen?
 
• Schutzbedarf der IT-Systeme anhand des Schutzbedarfs der Anwendungen ermitteln
 
• Abhängigkeiten, das Maximumprinzip und gegebenenfalls den Kumulations- beziehungsweise
 
Verteilungseffekt berücksichtigen
 
• Pro IT-System(-Gruppe) die Ergebnisse für Vertraulichkeit, Integrität und Verfügbarkeit sowie die Begründungen dokumentieren
 
 
 
Was sind die Aktionspunkte zur Schutzbedarfsfestellung bei Räumen?
 
• Schutzbedarf der Räume aus dem Schutzbedarf der IT-Systeme und Anwendungen ableiten
 
• Abhängigkeiten, das Maximumprinzip und gegebenenfalls den Kumulationseffekt berücksichti-
 
gen
 
• Ergebnisse und Begründungen nachvollziehbar dokumentieren
 
 
 
Was sind die Aktionspunkte zur Schutzbedarfsfestellung bei Kommunikaitonsverbindungen?
 
• Außenverbindungen erfassen
 
• Verbindungen, über die kritische Informationen übertragen werden, identifizieren
 
• Verbindungen, über die bestimmte Informationen nicht übertragen werden dürfen, ermitteln
 
• Alle kritischen Kommunikationsverbindungen in tabellarischer oder graphischer Form dokumentieren
 
 
 
 
 
Werbungen entfernen
 
Nur 2,99 € im Monat
 
Was sind die Aktionspunkte zu: Schlussfolgerungen aus den Ergebnissen der Schutzbedarfsfeststellung
 
• Prüfen, ob Objekte mit erhöhten Sicherheitsanforderungen in Sicherheitszonen konzentriert werden können
 
• Objekte mit erhöhten Sicherheitsanforderungen für eine ergänzende Sicherheitsanalyse vormerken
 
 
 
Was sind die Aktionspunkte zur Auswahl und ANpassung von Maßnhamen?
 
• Kapitel "Schichtenmodell und Modellierung" aus den IT-Grundschutz-Katalogen systematisch durcharbeiten
 
• Für jeden Baustein der IT-Grundschutz-Kataloge ermitteln, auf welche Zielobjekte er im betrachteten Informationsverbund anzuwenden ist
 
• Zuordnung von Bausteinen zu Zielobjekten ("IT-Grundschutz-Modell") sowie die entsprechenden Ansprechpartner dokumentieren
 
• Zielobjekte, die nicht geeignet modelliert werden können, für eine ergänzende Sicherheitsanalyse vormerken
 
• Maßnahmentexte aus den identifizierten Bausteinen sorgfältig lesen und gegebenenfalls anpassen
 
 
 
Was sind die Aktionspunkte zu den Organisatorischen Vorarbeiten des Basis-Sicherhetschecks?
 
• Hausinterne Dokumente mit Verfügungen und Regelungen sichten und Zuständigkeiten für diese Unterlagen klären
 
• Feststellen, in welchem Umfang externe Stellen beteiligt werden müssen
 
• Hauptansprechpartner für jeden in der Modellierung angewandten Baustein festlegen
 
• Terminplan für Interviews abstimmen
 
• Team für Interviews zusammenstellen
 
 
 
Aktionspunkte zur Durchführung eines soll ist Vergleichs
 
• Je nach Fachgebiet vorab Checklisten erstellen
 
• Zielsetzung des Basis-Sicherheitschecks den Interviewpartnern erläutern
 
• Umsetzungsstatus der einzelnen Maßnahmen erfragen
 
• Antworten anhand von Stichproben am Objekt verifizieren
 
• Ergebnisse den Befragten mitteilen
 
 
 
Was sind die Aktionspunkte zur Dokumentation der Ergebnisse des Basissicherheitschecks?
 
• Stamminformationen über jedes Zielobjekt in Tool, Datenbank oder Formular eintragen
 
• Informationen zum Basis-Sicherheitscheck und zum Umsetzungsstatus eintragen
 
• Felder beziehungsweise Platzhalter für die Realisierungsplanung vorsehen
 
 
 
Was sind die Aktionspunkte zur ergänzenden Sicherheitsanalyse?
 
• Grundsätzliche Vorgehensweise der Institution zur Durchführung von Risikoanalysen in einer Richtlinie dokumentieren und der Leitungsebene zur Verabschiedung vorlegen
 
• Ermitteln, für welche Zielobjekte oder Gruppen von Zielobjekten eine Risikoanalyse durchge- führt werden soll
 
• Management-Report für die ergänzende Sicherheitsanalyse erstellen
 
• Management-Report der Leitungsebene zur Verabschiedung vorlegen
 
• Falls erforderlich, BSI-Standard 100-3 "Risikoanalyse auf der Basis von IT-Grundschutz" systematisch durcharbeiten
 
• Ergebnisse der Risikoanalysen in das Sicherheitskonzept integrieren
 
 
 
Was sind die Aktionspunkte zur Umsetzung der Sicherheitskonzeption?
 
• Fehlende oder nur teilweise umgesetzte IT-Grundschutz-Maßnahmen sowie ergänzende Sicherheitsmaßnahmen in einer Tabelle zusammenfassen
 
• Sicherheitsmaßnahmen konsolidieren, das heißt, überflüssige Maßnahmen streichen, allgemeine Maßnahmen an die Gegebenheiten anpassen und alle Maßnahmen auf Eignung prüfen
 
• Einmalige und wiederkehrende Kosten und Aufwand für die umzusetzenden Maßnahmen ermitteln
 
• Ersatzmaßnahmen für nicht finanzierbare oder nicht leistbare Maßnahmen ermitteln
 
• Entscheidung herbeiführen, welche Ressourcen für die Umsetzung der Maßnahmen eingesetzt
 
werden sollen
 
• Gegebenenfalls Restrisiko aufzeigen und Entscheidung der Leitungsebene darüber einholen
 
• Umsetzungsreihenfolge für die Maßnahmen festlegen, begründen und dokumentieren
 
• Termine für die Umsetzung festlegen und Verantwortung zuweisen
 
 
 
 
 
 
 
 
 
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Broschueren/Leitfaden_zur_Basis-Absicherung.pdf?__blob=publicationFile&v=3
 

Aktuelle Version vom 11. Oktober 2020, 11:42 Uhr

In drei Schritten zur Informationssicherheit

Initiierung des Sicherheitsprozesses

  • Übernahme der Verantwortung durch die Leitungsebene
  • Geltungsbereichbestimmen
  • Sicherheitsziele festlegen und Leitlinie erstellen

Organisation des Sicherheitsprozesses

  • Aufbau einer Organisationsstruktur einer Informationssicherheits
  • Integration in bestehende Abläufe und Prozesse
  • Konzeption und Planung des Sicherheitsprozesses

Durchführung des Sicherheitsprozesses

  • Auswahl und Priorisierung der Bausteine
  • IT-Grundschutz-Check
  • Umsetzung der Sicherheitskonzeption

Sicherheitsrelevante Themen für die Leitungsebene

  • Sicherheitsrisiken für die Institution und deren Informationen
  • Auswirkungen und Kosten im Schadensfall
  • Auswirkungen von Sicherheitsvorfällen auf kritische Geschäftsprozesse
  • Sicherheitsanforderungen, die sich aus gesetzlichen und vertraglichen Vorgaben ergeben
  • die für eine Branche typischen Vorgehensweisen zur Informationssicherheit
  • der aktuelle Stand der Informationssicherheit in der Institution mit abgeleiteten Handlungsempfehlungen

Verantwortung durch die Leitungsebene

  • Die Leitungsebene trägt die Gesamtverantwortung für Informationssicherheit.
  • Die Leitungsebene muss jederzeit über mögliche Risiken und Konsequenzen für die Informationssicherheit informiert sein.
  • Die Leitungsebene initiiert den Informationssicherheitsprozess innerhalb der Institution und benennt einen Verantwortlichen Informationssicherheitsbeauftragten (ISB).
  • Die Leitungsebene unterstützt den ISB vollständig und stellt ausreichende Ressourcen bereit, um die gesetzten Ziele erreichen zu können.

Zuständigkeiten und Aufgaben des ISB

  • Informationssicherheitsprozess steuern und bei allen damit zusammenhängenden Aufgaben mitwirken
  • die Leitungsebene bei der Erstellung der Leitlinie zur Informationssicherheit unterstützen
  • die Erstellung des Sicherheitskonzepts, des Notfallvorsorgekonzepts und Sicherheitsrichtlinien koordinieren sowie weitere Richtlinien und Regelungen zur Informationssicherheit erlassen
  • die Realisierung von Sicherheitsmaßnahmen initiieren und überprüfen
  • der Leitungsebene über den Status quo der Informationssicherheit berichten
  • sicherheitsrelevante Projekte koordinieren
  • Sicherheitsvorfälle untersuchen
  • Sensibilisierungs- und Schulungsmaßnahmen zur Informationssicherheit initiieren und koordinieren

Definition des Informationsverbundes

  • Festlegen, welche kritischen Geschäftsprozesse, Fachaufgaben oder Teile der Institution der Geltungsbereich beinhalten soll.
  • Den Geltungsbereich eindeutig abgrenzen.
  • Schnittstellen zu externen Partnern beschreiben.

Beispiele für Sicherheitsziele

  • hohe Verlässlichkeit des Handelns, auch in Bezug auf den Umgang mit Informationen (Verfügbarkeit, Integrität, Vertraulichkeit)
  • Gewährleistung der guten Reputation der Institution in der Öffentlichkeit
  • Erhaltung der in Technik, Informationen, Arbeitsprozesse und Wissen investierten Werte
  • Sicherung der hohen, möglicherweise unwiederbringlichen Werte der verarbeiteten Informationen
  • Gewährleistung der aus gesetzlichen Vorgaben resultierenden Anforderungen
  • Schutz von natürlichen Personen hinsichtlich ihrer körperlichen und geistigen Unversehrtheit

Grundlegenden Inhalte für eine Sicherheitsleitlinie

  • Stellenwert der Informationssicherheit und Bedeutung der wesentlichen Informationen, Geschäftsprozesse und der IT für die Aufgabenerfüllung
  • Bezug der Informationssicherheitsziele zu den Geschäftszielen oder Aufgaben der Institution
  • Sicherheitsziele und die Kernelemente der Sicherheitsstrategie für die Geschäftsprozesse und die eingesetzte IT
  • Zusicherung, dass die Sicherheitsleitlinie von der Institutionsleitung durchgesetzt wird
  • Leitaussagen zur Erfolgskontrolle
  • Beschreibung der geplanten Organisationsstruktur
  • Aufgaben und Zuständigkeiten im Sicherheitsprozess sollten aufgezeigt werden
  • Programme zur Förderung der Informationssicherheit durch Schulungs- und Sensibilisierungsmaßnahmen können angekündigt werden
  • wichtige Gefährdungen, relevante gesetzliche Regelungen etc. können eingangs skizziert werden.

Erstellung einer Sicherheitsleitlinie

  • zu beteiligende Organisationseinheiten für die Sicherheitsleitlinie identifizieren
  • gemeinsam Geltungsbereich und Inhalte festlegen
  • Inkraftsetzung der Sicherheitsleitlinie durch die Leitungsebene veranlassen
  • Sicherheitsleitlinie bekannt geben
  • Sicherheitsleitlinie regelmäßig überprüfen und gegebenenfalls aktualisieren

Grundregeln bei der Definition von Rollen im Informationssicherheitsmanagement

  • Die Gesamtverantwortung für die ordnungsgemäße und sichere Aufgabenerfüllung obliegt der Leitungsebene.
  • Es ist mindestens eine Person zum ISB zu ernennen, die den Informationssicherheitsprozess koordiniert und steuert.
  • Alle Mitarbeiter sind gleichermaßen sowohl für ihre originären Aufgaben als auch für die Aufrechterhaltung der Informationssicherheit an ihrem Arbeitsplatz und in ihrer Umgebung verantwortlich.
  • Informationssicherheit muss in Abläufe und Prozesse innerhalb der gesamten Institution integriert und Ansprechpartner müssen festgelegt werden. Ziel ist es, dass bei allen strategischen Entscheidungen die notwendigen Sicherheitsaspekte frühzeitig berücksichtigt werden

Aufbau der IS-Organisation in einer kleinen Institution

Bsi-1.png

  • Informationssicherheitsbeauftragter (ISB)
  • Betrieblicher Datenschutzbeauftragten (bDSB)

Organisation des Sicherheitsprozesses

  • Rollen für die Gestaltung des Informationssicherheitsprozesses festlegen
  • Aufgaben und Verantwortungsbereiche den Rollen zuordnen
  • Personelle Ausstattung der Rollen festlegen
  • IS-Organisation dokumentieren
  • Informationssicherheitsmanagement in die Abläufe und Prozesse integrieren

Allgemeine Einflussfaktoren

Informationssicherheit auf einem angemessenen Niveau trägt einen elementaren Anteil daran, dass eine Institution ihre Geschäftsziele erreichen kann. Daher müssen die folgenden Einflussfaktoren betrachtet werden:

  • Geschäftsziele: Welche Faktoren sind wesentlich für den Erfolg des Unternehmens oder der Behörde? Welche Produkte, Angebote und Aufträge bilden die Grundlage der Geschäftstätigkeit? Was sind die generellen Ziele der Institution? Welche Rolle spielt Informationssicherheit hierbei?
  • Organisationsstruktur: Wie ist die Institution organisiert und strukturiert? Welche Managementsysteme sind vorhanden (beispielsweise Risikomanagement oder Qualitätsmanagement)?
  • Zusammenarbeit mit Externen: Wer sind die wichtigsten Kunden, Partner und Gremien? Welche grundlegenden Anforderungen und Erwartungen an die Informationssicherheit der Institution bringen sie mit? Wer sind die wichtigsten Dienstleister und Zulieferer? Welche Rolle spielen diese für die Informationssicherheit der Institution?
  • Strategischer Kontext: Was sind die wesentlichen Herausforderungen für die Institution? Wie ist die Wettbewerbsposition?

Wichtige interne und externe Rahmenbedingungen abklären

  • Welche Geschäftsprozesse gibt es in der Institution und wie hängen diese mit den Geschäftszielen zusammen?
  • Welche Geschäftsprozesse hängen von einer funktionierenden Informationstechnik ab?
  • Welche Informationen werden bei diesen Geschäftsprozessen verarbeitet?
  • Welche Informationen sind besonders wichtig und damit in Bezug auf Vertraulichkeit, Integrität und Verfügbarkeit schützenswert, und warum (z. B. personenbezogene Daten, Kundendaten, sensible Firmeninterna)?
  • Zu jedem Geschäftsprozess und zu jeder Fachaufgabe muss ein verantwortlicher Ansprechpartner benannt werden.
  • Was sind die gesetzlichen Rahmenbedingungen (nationale und internationale Gesetze und Bestimmungen)?
  • Wie sehen Anforderungen von Kunden, Lieferanten und Geschäftspartnern, die aktuelle Marktlage, Wettbewerbssituation und weitere relevante marktspezifische Abhängigkeiten aus?
  • Was sind branchenspezifische Sicherheitsstandards?

Erfassung der relevanten Objekte

  • Geschäftsprozess oder Fachaufgabe: Name und (falls erforderlich) Beschreibung, Fachverantwortlicher
  • Anwendung: Name, (falls erforderlich) Beschreibung und dazugehöriger Geschäftsprozess
  • IT-, ICS-Systeme und sonstige Objekte: Name, Plattform und sofern sinnvoll Aufstellungsort
  • Betriebsrelevante Räume, die ein höheres Sicherheitsniveau erfordern (z.B. Serverräume): Art, Raumnummer und Gebäude

Erstellung eines grafischen Netzplans

  • IT-Systeme, d. h. Clients und Server sowie aktive Netzkomponenten,
  • Netzverbindungen zwischen diesen Systemen,
  • Verbindungen des betrachteten Bereichs nach außen.

Konzeption und Planung des Sicherheitsprozesses

  • Ansprechpartner für alle Geschäftsprozesse und Fachaufgaben benennen
  • Grobeinschätzung der Wertigkeit und des Sicherheitsniveaus von Informationen, Geschäftsprozessen und Fachaufgaben durchführen
  • Interne und externe Rahmenbedingungen ermitteln
  • Bedeutung der Geschäftsprozesse, Fachaufgaben und Informationen abschätzen
  • Allgemeine Informationssicherheitsziele festlegen
  • Konsolidierte Übersicht der vorhandenen Assets mit den zuvor gewonnenen Erkenntnissen erstellen

Schematisches Vorgehen nach der Basis-Absicherung

Bsi-2.png

Auswahl und Priorisierung

Der betrachtete Informationsverbund muss mit Hilfe der vorhandenen Bausteine aus dem IT Grundschutz-Kompendium nachgebildet werden.

IT-Grundschutz-Check

In diesem Schritt wird überprüft, ob oder inwieweit die in den Basisanforderungen nach IT-Grundschutz formulierten Vorgaben bereits erfüllt sind und welche Sicherheitsmaßnahmen noch fehlen.

Realisierung

Für die bisher nicht erfüllten Basisanforderungen müssen geeignete Sicherheitsmaßnahmen festgelegt und umgesetzt werden.

Auswahl der folgenden Vorgehensweise

Die Basis-Absicherung dient als Einstiegsvorgehensweise. Es muss daher festgelegt werden, zu welchem Zeitpunkt und mit welcher IT-Grundschutz-Vorgehensweise das Sicherheitsniveau weiter angehoben werden soll.

Modellierung nach IT-Grundschutz

Um einen meist komplexen Informationsverbund nach ITGrundschutz zu modellieren, müssen die passenden Bausteine aus dem IT-Grundschutz-Kompendium ausgewählt und umgesetzt werden

Das erstellte IT-Grundschutz-Modell ist unabhängig davon, ob der Informationsverbund aus bereits im Einsatz befindlichen Komponenten besteht oder ob es sich um einen Informationsverbund handelt, der geplant wird. Das Modell kann daher unterschiedlich verwendet werden:

  • Der ISB kann mit dem IT-Grundschutz-Modell eines bestehenden Informationsverbundes auf Basis der Bausteine relevante Sicherheitsanforderungen identifizieren. Es kann in Form eines Prüfplans benutzt werden, um einen Soll-IstVergleich durchzuführen.
  • Das IT-Grundschutz-Modell eines geplanten Informationsverbundes stellt hingegen einen Entwicklungsplan dar. Es beschreibt mit den ausgewählten Bausteinen, welche Sicherheitsanforderungen bei der Realisierung des Informationsverbunds erfüllt werden müssen.

Die Einordnung der Modellierung und die möglichen Ergebnisse

Bsi-3.png

Einteilung der Sicherheitsanforderungen

  • bereits erfüllte Sicherheitsanforderungen,
  • die bei Durchführung des Soll-Ist-Vergleichs als unzureichend oder gar nicht erfüllt identifizierten Anforderungen
  • Anforderungen, die sich für die in Planung befindlichen Anteile des Informationsverbunds ergeben.

Zuordnung von Bausteinen

  • Vollständiger Titel und Nummer des Bausteins (z. B. SYS.3.1 Laptop)
  • Zielobjekt oder Zielgruppe: Dies kann z. B. die Identifikationsnummer einer Komponente oder einer Gruppe bzw. der Name eines Gebäudes oder einer Organisationseinheit sein.
  • Ansprechpartner: Diese Spalte dient zunächst nur als Platzhalter. Der Ansprechpartner wird nicht im Rahmen der Modellierung, sondern erst bei der Planung des eigentlichen Soll-Ist-Vergleichs im IT-Grundschutz-Check ermittelt.
  • Reihenfolge: Es sollte die Umsetzungsreihenfolge (R1, R2, R3)des Bausteins eingetragen werden.
  • Hinweise: In dieser Spalte können ergänzende Informationen oder Begründungen für die Modellierung dokumentiert werden.

Modellierung eines Informationsverbunds

  • Kapitel „Schichtenmodell und Modellierung“ aus dem ITGrundschutz-Kompendium systematisch durcharbeiten.
  • Für jeden Baustein des IT-Grundschutz-Kompendiumsermitteln, auf welche Zielobjekte er im betrachteten Informationsverbund anzuwenden ist.
  • Zuordnung von Bausteinen zu Zielobjekten („IT-Grundschutz-Modell“) sowie die entsprechendenAnsprechpartner dokumentieren.
  • Zielobjekte, die nicht geeignet modelliert werden können,vormerken.
  • Reihenfolge für die Umsetzung der Bausteine festlegen

Organisatorische Vorarbeiten des IT-Grundschutz-Checks

  • Hausinterne Dokumente mit Verfügungen und Regelungen sichten und Zuständigkeiten für diese Unterlagen klären.
  • Feststellen, in welchem Umfang externe Stellen beteiligt werden müssen.
  • Hauptansprechpartner für jeden in der Modellierung angewandten Baustein festlegen.

Soll ist Vergleich der Bausteine

entbehrlich

Die Erfüllung der Anforderung ist in der vorgeschlagenen Art nicht notwendig, weil dieAnforderung im betrachteten Informationsverbund nicht relevant ist (z. B. weil Dienstenichtaktiviert wurden) oder bereits durch Alternativmaßnahmen erfüllt wurde.

ja

Zu der Anforderung wurden geeignete Maßnahmen vollständig, wirksam und angemessen umgesetzt.

teilweise

Die Anforderung wurde nur teilweise umgesetzt.

nein

Die Anforderung wurde noch nicht erfüllt, alsogeeignete Maßnahmen sind größtenteils nochnicht umgesetzt worden.

Durchführung des Soll-Ist-Vergleichs

  • Je nach Fachgebiet vorab Checklisten erstellen.
  • Umsetzungsstatus der einzelnen Anforderungen mit dem Ansprechpartner erarbeiten.
  • Falls erforderlich, Umsetzungsstatus anhand von Stichproben am Objekt verifizieren.

Dokumentation des IT-Grundschutz-Checks

  • Die Nummer und die Bezeichnung des Objektes oder derGruppe von Objekten, welcher der Baustein bei der Modellierung zugeordnet wurde,
  • der Standort der zugeordneten Objekte bzw. Gruppe von Objekten,
  • das Erfassungsdatum und der Name des Erfassers und
  • die befragten Ansprechpartner.

Ergebnisse des Soll-Ist-Vergleichs sollten folgendes enthalten

Umsetzungsgrad (entbehrlich/ja/teilweise/nein)

Der im Interview ermittelte Umsetzungsstatus der jeweiligenAnforderung ist zu erfassen.

Termin für die Umsetzung

Ein solches Feld ist sinnvoll, auch wenn es während eines ITGrundschutz-Checks im Allgemeinen nicht ausgefüllt wird.Es dient als Platzhalter, um in der Realisierungsplanung an dieser Stelle zu dokumentieren, bis zu welchem Termin die Anforderung vollständig umgesetzt sein soll.

Verantwortliche

Falls es bei der Durchführung des Soll-Ist-Vergleichs eindeutig ist, welche Mitarbeiter für die vollständige Umsetzung einer noch nicht erfüllten Anforderung oder Maßnahme verantwortlich sind, sollte das namentlich in diesem Feld dokumentiert werden. Andernfalls ist im Zuge der späteren Realisierungsplanung ein Verantwortlicher zu bestimmen.

Bemerkungen/Begründungen

Ein solches Feld ist wichtig, um getroffene Entscheidungenspäter nachvollziehen zu können. Bei Anforderungen, deren Umsetzung entbehrlich erscheint, ist hier die Begründung zu nennen. Bei Anforderungen, die noch nicht oder nur teilweise umgesetzt sind, sollte in diesem Feld dokumentiert werden, welche Maßnahmen noch umgesetzt werden müssen. In dieses Feld sollten auch alle anderen Bemerkungen eingetragen werden, die bei der Beseitigung von Defiziten hilfreich oder im Zusammenhang mit der Anforderung zu berücksichtigen sind.

Defizite/Kostenschätzung

Für Anforderungen, die nicht oder nur teilweise erfüllt wurden, ist das damit verbundene Risiko in geeigneter Form zu ermitteln und zu dokumentieren. Bei solchen Maßnahmen sollte außerdem geschätzt werden, welchen finanziellen und personellen Aufwand die Beseitigung der Defizite erfordert.

Dokumentation der Ergebnisse

  • Stamminformationen über jedes Zielobjekt erfassen
  • Informationen zum IT-Grundschutz-Check und zum Umsetzungsstatus dokumentieren
  • Felder beziehungsweise Platzhalter für die Realisierungsplanung vorsehen

Aktionspunkte zu Umsetzung der Sicherheitskonzeption

  • Fehlende oder nur teilweise umgesetzte IT-GrundschutzAnforderungen sowie ergänzende Sicherheitsmaßnahmen zusammenfassen
  • Sicherheitsmaßnahmen formulieren, welche die Basisanforderungen erfüllen
  • Sicherheitsmaßnahmen konsolidieren, das heißt, überflüssige Maßnahmen streichen, allgemeine Maßnahmen an die Gegebenheiten anpassen und alle Maßnahmen auf Eignung prüfen
  • Einmalige und wiederkehrende Kosten und Aufwand für die umzusetzenden Maßnahmen ermitteln
  • Geeignete Ersatzmaßnahmen für nicht finanzierbare oder nicht leistbare Maßnahmen ermitteln
  • Entscheidung herbeiführen, welche Ressourcen für die Umsetzung der Maßnahmen eingesetzt werden sollen
  • Gegebenenfalls Restrisiko aufzeigen und Entscheidung der Leitungsebene darüber einholen
  • Umsetzungsreihenfolge für die Maßnahmen festlegen, begründen und dokumentieren
  • Termine für die Umsetzung festlegen und Verantwortung zuweisen
  • Verlauf der Umsetzung und Einhaltung der Termine überwachen
  • Betroffene Mitarbeiter schulen und sensibilisieren

Quelle

Abgerufen von „http://wiki.ixheim.de/index.php?title=DER_IT-GRUNDSCHUTZ_NACH_BSI-LOS14&oldid=21835