Inhaltsverzeichnis. 1 Einleitung 3

Transkript

1

2 Bundesamt für Sicherheit in der Informationstechnik Referat 114 IT-Sicherheitsmanagement und IT-Grundschutz Postfach Bonn Tel:+49 (0) Internet: Bundesamt für Sicherheit in der Informationstechnik 2010

3 Inhaltsverzeichnis Inhaltsverzeichnis 1 Einleitung 3 2 Rahmenbedingung des Profils Erläuterung zum Schutzbedarf Rechtliche Rahmenbedingungen Verantwortlichkeiten und Vorgehensweise 11 3 Definition und Abgrenzung des Informationsverbundes 18 4 Leitlinie zur Informationssicherheit und Sicherheitskonzept Leitlinie zur Informationssicherheit Sicherheitskonzept 28 5 Strukturanalyse Netzplan Erhebung der IT-Systeme Anwendungen Strukturanalyse mittels GSTOOL Erfassung der IT-Systeme mit dem GSTOOL Erfassung von Benutzern und Verantwortlichen Erfassung von Räumen Erfassung der Anwendungen mit dem GSTOOL Kommunikationsverbindungen mit dem GSTOOL 47 6 Schutzbedarfsfeststellung Vorarbeiten Phase 1: Definition der Schutzbedarfskategorien Phase 2: Ermittlung von Schadensszenarien Phase 3: Dokumentation der Ergebnisse Anwendungen IT-Systeme Kommunikationsverbindungen IT-Räume 62 Seite I

4 Inhaltsverzeichnis 6.6 Exkurs: Ergänzende Sicherheitsanalyse 65 7 Modellierung Übergeordnete Aspekte der Informationssicherheit Infrastruktur IT-Systeme Netze Anwendungen 78 8 Basissicherheitscheck Organisatorische Vorbereitungen Durchführung des Soll-Ist-Vergleichs Dokumentation der Ergebnisse 84 9 Realisierung Zertifizierung Beispiel: Leitlinie zur Informationssicherheit 98 Anhang A Systeme des beispielhaften Informationsverbundes Anhang B Organigramm Anhang C Glossar Anhang D Referenzen Seite II

5 Einleitung 1 Einleitung In der heutigen Geschäftswelt werden nahezu alle Prozesse durch Informationstechnologie (IT) unterstützt. Beispiele hierfür sind die Textverarbeitung am Arbeitsplatz oder die Steuerung der Produktion im produzierenden Gewerbe. Gleichzeitig führt dies auch zu Abhängigkeiten, da Fehler, die bei der Informationsverarbeitung entstehen, direkte Folgen für die Institution haben. Fällt z. B. die Produktionssteuerung aus oder werden fehlerhafte Produktionsdaten erzeugt, kann das direkte Auswirkungen auf vertraglich zugesicherte Liefertermine oder die Qualität der gelieferten Produkte haben. Gibt es Störungen z. B. bei den Arbeitsplatzsystemen der Mitarbeiter, kann wertvolle Arbeitszeit verloren gehen. Die Gewährleistung der Verfügbarkeit, Vertraulichkeit und Integrität von Daten bzw. in der Informationstechnologie ist damit ein wichtiges Ziel zur Aufrechterhaltung der Geschäftsprozesse und Abwehr von Schäden. Damit dieses Ziel schnell und effektiv erreicht, Gefahren identifiziert und durch geeignete Sicherheitsmaßnahmen abgewendet werden können, wird ein Sicherheitskonzept erstellt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt mit den IT-Grundschutz-Katalogen [GSK] und den in den BSI-Standards (Managementsysteme für Informationssicherheit ISMS), (IT-Grundschutz Vorgehensweise) und (Risikoanalyse auf der Basis von IT-Grundschutz) beschriebenen Methoden eine wirkungsvolle und einfach handhabbare Möglichkeit zur Erstellung eines Sicherheitskonzepts zur Verfügung. Die IT-Grundschutz-Kataloge und die BSI-Standards können von den Internetseiten des BSI kostenlos unter bzw. heruntergeladen werden. Durch die softwaretechnische Unterstützung mittels verschiedener am Markt erhältlicher TOOLs, die die IT-Grundschutz-Vorgehensweise unterstützen, (vergleiche auch [GSTOOL]) kann die Erstellung eines Sicherheitskonzepts effizient durchgeführt werden. IT-Grundschutz-Profil - Anwendungsbeispiel für den Mittelstand Seite 3

6 Einleitung Im vorliegenden Dokument wird für eine mittelgroße Institution beispielhaft ein Sicherheitskonzept nach Empfehlungen der IT-Grundschutz-Kataloge des BSI [GS-Kataloge] in Verbindung mit den BSI-Standards erstellt. Es werden konkrete Sicherheitsaspekte detailliert erläutert, die in dieser mittelgroßen Institution für die Absicherung der Informationen und Geschäftsprozesse zu beachten sind. Ausgehend von der beispielhaft dargestellten Institution wird gezeigt, wie die einzelnen Arbeitsschritte der IT- Grundschutz-Methodik unter Zuhilfenahme des GSTOOL angewendet werden. In Kapitel 2 werden zunächst die Rahmenbedingungen, unter denen das Profil angewendet werden kann, erläutert. Der in diesem Dokument als Beispiel dienende Informationsverbund wird in Kapitel 3 beschrieben. In den Kapiteln 5 bis 9 werden die einzelnen Schritte einer Sicherheitskonzeption aufgeführt. Kapitel 10 erläutert die Aspekte einer Zertifizierung mittels IT-Grundschutz Zertifikat und in Kapitel 11 ist eine exemplarische und an der Praxis orientierte Leitlinie zur Informationssicherheit für eine mittelgroße Institution dargestellt. Zur Vorbereitung wird empfohlen, den Leitfaden Informationssicherheit [LEITF] zu lesen. Das vorliegende Dokument setzt als Basiswissen die inhaltliche Kenntnis des Leitfadens voraus. Eine sehr gute Einarbeitung in die Thematik des IT-Grundschutzes ist mit den vom BSI angebotenen kostenlosen Webkursen zu den IT-Grundschutz-Katalogen ( bund.de/grundschutz) und zum GSTOOL ( möglich. Um die beispielhaft durchgeführten Schritte bei der Erstellung der Sicherheitskonzeption für die mittelgroße Institution mit dem GSTOOL nachvollziehen zu können, besteht die Möglichkeit eine kostenlose 30-Tage-Lizenz des GSTOOL zu Testzwecken von den Internetseiten des BSI herunterzuladen ( Die einmal eingegebenen Test-Daten können auch nach Ablauf der Testlizenz in der erworbenen Anwendung weiterhin bequem genutzt werden. Eine erneute Eingabe der bereits erfassten Daten ist nach Erhalt des Freigabeschlüssels nicht erforderlich. Auf der genannten Seite steht ebenfalls eine Datenbank zum GSTOOL IT-Grundschutz-Profil - Anwendungsbeispiel für den Mittelstand Seite 4

7 Einleitung mit den im vorliegenden Dokument beschriebenen Beispielen einschließlich einer Installationsanleitung sowie das GSTOOL Handbuch zum Download zur Verfügung. IT-Grundschutz-Profil - Anwendungsbeispiel für den Mittelstand Seite 5

8 Rahmenbedingung des Profils 2 Rahmenbedingung des Profils In den folgenden Abschnitten werden die Rahmenbedingungen beschrieben, unter denen das in diesem Dokument verwendete IT-Grundschutz-Profil auf den Informationsverbund einer mittelgroßen Institution anwendbar ist. Abschnitte, die mit der am linken Rand abgebildeten Grafik gekennzeichnet sind, weisen darauf hin, dass bei der Sicherheitskonzeption die Unterstützung durch ein Grundschutz-Tool (GSTOOL) möglich ist. Der Einsatz des GSTOOL ist zwar nicht explizit vorgeschrieben, er wird jedoch empfohlen, da hierdurch die IT-Grundschutz-Umsetzung erheblich vereinfacht wird. In diesem Dokument wird die im BSI-Standard beschriebene Vorgehensweise nach IT-Grundschutz daher an vielen Stellen durch Beispiele aus dem GSTOOL verdeutlicht. Die den Beispielen zugrunde liegende Datenbank des GSTOOL ist über die Internetseiten des BSI erhältlich. Wird IT-Grundschutz ohne GSTOOL-Unterstützung umgesetzt, ist an vielen Stellen die tabellarische Erfassung von Informationen erforderlich. Im nachfolgenden Dokument sind Punkte, die bei einer manuellen Vorgehensweise zu beachten sind, und weitergehende Hinweise durch das Tabellensymbol am linken Seitenrand gekennzeichnet. 2.1 Erläuterung zum Schutzbedarf Da die IT-Grundschutz-Kataloge nach dem Baukastenprinzip aufgebaut sind, lassen sich Sicherheitskonzepte mit dieser Unterstützung einfach erstellen. Dieses Prinzip erlaubt es den Anwendern, rasch einen Soll-Ist-Vergleich zwischen empfohlenen und bereits realisierten Maßnahmen durchzuführen. Dabei festgestellte fehlende oder noch nicht umgesetzte Maßnahmen sind ein Hinweis auf Sicherheitsdefizite, die durch die in den jeweiligen Bausteinen der IT-Grundschutz-Kataloge empfohlenen Maßnahmen behoben werden sollten. IT-Grundschutz-Profil - Anwendungsbeispiel für den Mittelstand Seite 6

9 Rahmenbedingung des Profils Generell ist es sinnvoll, sich bei der Auswahl von einzuführenden Schutzmaßnahmen am Wert der zu schützenden Informationen zu orientieren, so dass auch die monetären Aspekte bei der Umsetzung der Informationssicherheit berücksichtigt werden. In diesem Sinne sollen Maßnahmen, die von einer Institution für die Einrichtung und Aufrechterhaltung der Informationssicherheit ergriffen werden, stets angemessen sein. Daher werden Sicherheitsmaßnahmen erst dann eingeführt, nachdem der Schutzbedarf der geschäftsrelevanten Informationen sowie der Informationstechnologie ermittelt worden ist. Bei der Ermittlung und individuellen Bewertung des Schutzbedarfs unterstützen die IT-Grundschutz-Kataloge sowie die BSI- Standards methodisch und das GSTOOL technisch. Die in den IT-Grundschutz-Katalogen aufgeführten Maßnahmen sind stets Standard-Sicherheitsmaßnahmen, welche die für die jeweiligen Bausteine nach dem Stand der Technik umzusetzenden Maßnahmen zur Erreichung einer angemessenen Sicherheit beschreiben. Teilweise wird mit diesen Maßnahmen auch bereits ein höherer Schutzbedarf abgedeckt, dennoch sind sie in den jeweiligen Bereichen das Minimum dessen, was vernünftigerweise an Sicherheitsvorkehrungen umzusetzen ist. Ziel der in einem ersten Schritt durchzuführenden Schutzbedarfsfeststellung (vergleiche Kapitel 4.3 [BSI-Standard 100-2]) ist es daher, für jede erfasste Komponente des Informationsverbunds (Anwendung und der zugehörigen Informationen, IT-System, Raum und Übertragungsstrecke) zu entscheiden, welchen Schutzbedarf sie bezüglich der Grundwerte der Informationssicherheit - Vertraulichkeit, Integrität und Verfügbarkeit - tatsächlich besitzt. Dieser orientiert sich an den möglichen Schäden, die mit einer Beeinträchtigung der betroffenen Komponente verbunden sind und wird in die drei Kategorien normal, hoch und sehr hoch unterteilt. Zur Einstufung in diese Kategorien werden individuell für den betrachteten Informationsverbund die Auswirkungen hinsichtlich der Schadensszenarien - Verstoß gegen Gesetze/Vorschriften/Verträge, - Beeinträchtigung des informationellen Selbstbestimmungsrechts, IT-Grundschutz-Profil - Anwendungsbeispiel für den Mittelstand Seite 7

10 Rahmenbedingung des Profils - Beeinträchtigung der persönlichen Unversehrtheit, - Beeinträchtigung der Aufgabenerfüllung, - negative Außenwirkung und - finanzielle Auswirkungen betrachtet und abgeschätzt. Die Methodik zur Schutzbedarfsfeststellung gemäß BSI-Standard wird detailliert in Kapitel 6 anhand eines Beispiels erläutert. 2.2 Rechtliche Rahmenbedingungen Verstöße gegen Gesetze, Richtlinien oder Vorschriften wie auch die Nichteinhaltung von Verträgen können sowohl aus dem Verlust der Verfügbarkeit, der Vertraulichkeit sowie der Integritätsverletzung resultieren. Die Bewertung eines Schadens und die Definition von Schutzmaßnahmen ist damit unter anderem von den rechtlichen Konsequenzen für die Institution abhängig. Die nachfolgenden Ausführungen stammen aus [LEITF] und geben das Thema der rechtlichen Rahmenbedingungen sehr gut wieder. Während der vergangenen Jahre wurden mehrere Rechtsvorschriften erlassen, aus denen sich zu Fragen der Informationssicherheit unmittelbare Handlungs- und Haftungsverpflichtungen der Geschäftsführung bzw. des Vorstands eines Unternehmens ableiten lassen. Diese Regelungen gelten oft nicht nur für Aktiengesellschaften sondern auch für die Rechtsform der Gesellschaft mit beschränkter Haftung (GmbH). Dies ist in der Öffentlichkeit allerdings noch nicht hinreichend bekannt. In diesem Zusammenhang wird immer wieder auf das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) hingewiesen. Das KonTraG ist ein sogenanntes Artikelgesetz und ergänzt bzw. ändert verschiedene Gesetze wie das Handelsgesetzbuch und das Aktiengesetz. Insbesondere die Forderung nach einem Risikomanagement für Kapitalgesell- IT-Grundschutz-Profil - Anwendungsbeispiel für den Mittelstand Seite 8

11 Rahmenbedingung des Profils schaften (z. B. Aktiengesellschaften und GmbH) sind im KonTraG enthalten. Im Einzelnen kann eine Institution von folgenden Regelungen betroffen sein: Im Aktiengesetz wird festgelegt, dass ein Vorstand persönlich haftet, wenn er Entwicklungen, die zukünftig ein Risiko für das Unternehmen darstellen könnten, nicht durch ein Risikomanagement überwacht und durch geeignete Maßnahmen vorbeugt ( 91 Abs. 2 und 93 Abs. 2 AktG). Geschäftsführern einer GmbH wird im GmbH-Gesetz die Sorgfalt eines ordentlichen Geschäftsmannes auferlegt ( 43 Abs. 1 GmbHG), welches ähnliche Folgerungen für das Risikomanagement beinhaltet wie für Vorstände nach dem Aktiengesetz. Die im Aktiengesetz genannten Pflichten eines Vorstands gelten auch im Rahmen des Handelsgesetzbuches ( 317 Abs. 4 HGB). Weiterhin verpflichtet das Handelsgesetzbuch Abschlussprüfer zu prüfen, ob die Risiken der künftigen Entwicklung zutreffend dargestellt sind ( 317 Abs. 2 HGB). Die oben genannten Formulierungen klingen für den juristischen Laien teilweise recht allgemein und unverbindlich. Hieraus lassen sich jedoch konkrete Verpflichtungen an die Gewährleistung eines angemessenen Sicherheitsniveaus in der eigenen Institution ableiten. Sicherheitsvorfälle können massive wirtschaftliche Schäden verursachen und den Fortbestand einer Institution gefährden. Für bestimmte Berufsgruppen wie Ärzte, Rechtsanwälte oder Angehörige sozialer Berufe gibt es darüber hinaus Sonderregelungen im Strafgesetzbuch, die Freiheitsstrafen vorsehen, wenn vertrauliche Angaben von Patienten, Mandanten bzw. Klienten ohne deren ausdrückliche Einwilligung öffentlich gemacht werden ( 203 StGB). Ein fahrlässiger Umgang mit Informationstechnik kann diesen Tatbestand unter Umständen bereits erfüllen. IT-Grundschutz-Profil - Anwendungsbeispiel für den Mittelstand Seite 9

12 Rahmenbedingung des Profils Belange des Verbraucherschutzes werden in verschiedenen Gesetzen behandelt. Die Verwendung von Informationstechnik, die Nutzung des Internets oder von Telekommunikationsdiensten werden zum Teil sehr genau geregelt. Einschlägig sind z. B.: Gesetz zur Nutzung von Telediensten, Telekommunikationsgesetz, Mediendienste-Staatsvertrag, Urheberrecht sowie verschiedene Richtlinien auf EU-Ebene. Der Umgang mit personenbezogenen Daten wird in den Datenschutzgesetzen des Bundes und der Länder, dem Gesetz über den Datenschutz bei Telediensten, der Telekommunikation-Datenschutzverordnung sowie teilweise in den bereits aufgezählten Gesetzen geregelt. Auch Banken sind verpflichtet, bei der Kreditvergabe eventuell bestehende Risiken auf der Seite des Kreditnehmers zu berücksichtigen, was sich unmittelbar auf die angebotenen Konditionen auswirken wird (Stichwort: Basel II). Die für die jeweilige Institution geltende Rechtslage muss jedoch individuell durch einen Experten geklärt werden. Die oben gemachten Angaben können daher nur als Hinweis angesehen werden! Die genannten rechtlichen Rahmenbedingungen machen es für einen Institutsleiter erforderlich, sich mit der Thematik Informationssicherheit auseinander zu setzen und zu prüfen, ob die in der Institution umgesetzten Sicherheitsmaßnahmen ausreichend sind oder gegebenenfalls neue oder ergänzende Sicherheitsmaßnahmen definiert werden müssen. Im BSI-Standard wird hierfür die Vorgehensweise beschrieben, mit der fehlende Sicherheitsmaßnahmen identifiziert und erforderliche Sicherheitsmaßnahmen nach IT-Grundschutz umgesetzt werden können. Der folgende Abschnitt beschreibt, wer in diesen Prozess eingebunden ist, welche Verantwortlichkeiten entstehen und gibt einen Überblick über die Vorgehensweise. IT-Grundschutz-Profil - Anwendungsbeispiel für den Mittelstand Seite 10

13 Rahmenbedingung des Profils 2.3 Verantwortlichkeiten und Vorgehensweise Der BSI-Standard beschreibt die verschiedenen Aktivitäten, die innerhalb einer Institution im Zusammenhang mit der Umsetzung von Maßnahmen zur Sicherheitskonzeption durchzuführen sind (vergleiche Kapitel 4 [BSI-Standard 100-2]). Im Kapitel 3 der IT-Grundschutz-Kataloge werden verschiedene, in den Sicherheitsprozess eingebundene Rollen beschrieben. Der besondere Schwerpunkt liegt auf den Rollen des Vorgesetzten, des IT-Sicherheitsbeauftragten, des für die Informationssicherheit Verantwortlichen (Administrator) und des Benutzers. Der Institutsleiter ist für die Benennung eines Mitarbeiters als IT-Sicherheitsbeauftragten zuständig und übergeordnet für alle Belange innerhalb der Institution verantwortlich. Gemäß der Methodik nach IT-Grundschutz ist der IT-Sicherheitsbeauftragte für die Abstimmung der Leitlinie zur Informationssicherheit mit dem Institutsleiter und für die Erstellung des Informationssicherheitskonzepts verantwortlich, d. h. er koordiniert die Erstellung für die Institution. Gleichzeitig ist er Haupt-Ansprechpartner für alle Fragen der Informationssicherheit. Die für die Informationssicherheit Verantwortlichen übernehmen die Pflege und Wartung von IT-Systemen und Anwendungen und sorgen für die Umsetzung der festzulegenden technischen Maßnahmen. Die Tätigkeit der Mitarbeiter wird durch Anwendungen unterstützt. Sie liefern dem IT-Sicherheitsbeauftragten bei der Erstellung des Sicherheitskonzepts Informationen über den Schutzbedarf der einzelnen Komponenten und werden auf die Einhaltung der festgelegten Regelungen verpflichtet. Bei der tatsächlichen Durchführung der Arbeiten ist eine Zuweisung der oben genannten Rollen zu den jeweiligen Mitarbeitern erforderlich. Die bei der Erstellung eines Informationssicherheitskonzepts nach IT- Grundschutz durchzuführenden Tätigkeiten sind in Kapitel 4 [BSI-Standard 100-2] definiert und umfassen die nachfolgenden Phasen (siehe Abbil- IT-Grundschutz-Profil - Anwendungsbeispiel für den Mittelstand Seite 11

14 Rahmenbedingung des Profils dung 1), die zeitlich nacheinander ausgeführt werden. Ausgenommen ist Phase 2, die schon vor Beendigung der ersten Phase gestartet werden kann. Die Durchführung aller sieben Phasen nimmt erfahrungsgemäß bei einem Informationsverbund der betrachteten Größenordnung für eine mittlere Institution etwa ein Jahr in Anspruch. Der Zeitraum kann verkürzt werden, wenn beispielsweise bereits Vorbereitungen getroffen worden sind und Erfahrungen von Mitarbeitern, etwa in der Einschätzung der Schutzbedürftigkeit von Anwendungen, vorliegen. Die Dauer der einzelnen Phasen ist sehr unterschiedlich und hängt von den individuellen Gegebenheiten innerhalb der Institution ab. Phase 2 Phase 1 Phase 3 Phase 4 Phase 5 Phase 6 Phase 7 Abbildung 1: Übersicht der Umsetzungsphasen Phase 1: Initiierung des -Sicherheitsprozesses (vergleiche Kapitel 3 [BSI- Standard 100-2]) Die Institutsleitung ist für die Phase 1 verantwortlich. Phase 1 beinhaltet die Definition des betrachteten Informationsverbundes (also die Festlegung des Geltungsbereichs), die Erstellung einer Leitlinie zur Informationssicherheit (vergleiche Kapitel 3.3 BSI- Standard 100-2) und die Planung und Einrichtung einer IT-Sicherheitsorganisation (vergleiche Kapitel 3.4, BSI-Standard 100-2). Üblich ist es, diese Aufgaben an den IT-Sicherheitsbeauftragten zu delegieren. Dieser stimmt die Leitlinie zur Informationssicherheit mit der Institutsleitung ab und erstellt das Sicherheitskonzept. Als Ergebnis der 1. Phase ist der IT-Sicherheitsbeauftragte benannt und eine Leitlinie zur Informationssicherheit erstellt. IT-Grundschutz-Profil - Anwendungsbeispiel für den Mittelstand Seite 12

15 Rahmenbedingung des Profils Phase 2: Durchführung einer Strukturanalyse (vergleiche Kapitel 4.2 [BSI- Standard 100-2]) Bei der Strukturanalyse werden alle Komponenten des Informationsverbundes (Anwendung, IT-System, Raum und Kommunikationsverbindung) erfasst. Die Strukturanalyse kann durch den IT- Sicherheitsbeauftragten auch mit der Unterstützung des GSTOOL durchgeführt werden. Die Verwendung des GSTOOL ist jedoch nicht zwingend notwendig. Wird darauf verzichtet, muss die Strukturanalyse manuell unter Verwendung von Formularen und Tabellen zu Dokumentationszwecken erfolgen. Bei der Durchführung ist der IT-Sicherheitsbeauftragte auf Informationen der Benutzer und Verantwortlichen angewiesen, da diese in die Strukturanalyse mit einzubeziehen sind. Mit der Strukturanalyse kann schon begonnen werden, bevor die Leitlinie zur Informationssicherheit erstellt ist. In Abbildung 1 ist daher die zeitliche Überlappung der Bearbeitung beider Phasen dargestellt. Als Ergebnis der 2. Phase ist die Struktur der Informationstechnologie dokumentiert, d. h. alle IT-Systeme, deren Benutzer und Verantwortliche sowie Standorte und auf ihnen laufenden Anwendungen sind bekannt und dokumentiert. Somit ist ein Überblick über die IT-Landschaft der Institution vorhanden. Phase 3: Durchführung einer Schutzbedarfsfeststellung (vergleiche Kapitel 4.3 [BSI-Standard 100-2]) Die Vorgehensweise zur Schutzbedarfsfeststellung wird in Kapitel 4.3 des BSI-Standards detailliert erläutert. Die Schutzbedarfsfeststellung wird durch den IT-Sicherheitsbeauftragten durchgeführt. Sie beginnt mit einer auf den Informationsverbund angepassten Definition der Schutzbedarfskategorien, die in der Institution abgestimmt ist. IT-Grundschutz-Profil - Anwendungsbeispiel für den Mittelstand Seite 13

16 Rahmenbedingung des Profils Die erforderlichen Informationen zur Bestimmung des Schutzbedarfs werden durch Befragung der Benutzer ermittelt. Auch dieser Vorgang wird durch das GSTOOL unterstützt. Da insbesondere die Benutzer und Verantwortlichen den Schutzbedarf der von ihnen be- und verarbeiteten Daten und genutzten Systeme gut einschätzen können, ist der IT-Sicherheitsbeauftragte auf die Mitarbeit der Benutzer und Verantwortlichen angewiesen. Daher müssen diese unbedingt bei der Schutzbedarfsfeststellungen mit einbezogen werden. Als Ergebnis dieser Phase ist für jedes in Phase 2 aufgenommene IT-System, jede Anwendung, jeden Raum und für die Kommunikationsverbindungen der Schutzbedarf festgelegt. Phase 4: Modellierung nach IT-Grundschutz (vergleiche Kapitel 2.1 [GS- Kataloge]) Die Modellierung nach IT-Grundschutz (Phase 4) wird durch den IT-Sicherheitsbeauftragten unter Zuhilfenahme des GSTOOL durchgeführt. Dabei wird der Informationsverbund mittels der Bausteine der IT-Grundschutz-Kataloge nachgebildet. Die Modellierung sollte durch die Verantwortlichen unterstützt werden. Als Ergebnis erhält man das IT-Grundschutz-Modell des betrachteten Informationsverbunds. Phase 5: Durchführung des Basis-Sicherheitsscheck (vergleiche Kapitel 4.5 [BSI-Standard 100-2]) Die Durchführung des Basis-Sicherheitsscheck wird durch den IT-Sicherheitsbeauftragten unter Verwendung des GSTOOL durchgeführt. Hier wird ermittelt, ob die in der Modellierung beschriebenen Maßnahmen umgesetzt, teilweise, nicht umgesetzt oder entbehrlich sind. Die Erfassung der umgesetzten Maßnahmen kann an die Verantwortlichen delegiert werden. In IT-Grundschutz-Profil - Anwendungsbeispiel für den Mittelstand Seite 14

17 Rahmenbedingung des Profils jedem Fall ist eine enge Kooperation mit den Sicherheitsverantwortlichen nötig. Bei Anwendungen, die einen hohen oder sehr hohen Schutzbedarf besitzen, können die IT-Grundschutz-Sicherheitsmaßnahmen gegebenenfalls nicht ausreichend sein. In diesem Fall ist eine ergänzende Sicherheitsanalyse (vergleiche Kapitel 4.6 BSI-Standards 100-2) durch den IT-Sicherheitsbeauftragten durchzuführen und durch die Verantwortlichen zu unterstützen. Das Ergebnis der 5. Phase ist eine Liste, die insbesondere Auskunft über den Umsetzungsstatus der geforderten Standardsicherheitsmaßnahmen gibt. Phase 6: Realisierung von Sicherheitsmaßnahmen (vergleiche Kapitel 5 [BSI-Standard 100-2]) Anschließend werden die erforderlichen Sicherheitsmaßnahmen umgesetzt. Die Komplexität dieser Phase, die darin besteht, festzulegen, welche Maßnahmen zwingend umgesetzt werden müssen und auf welche verzichtet werden kann, macht die Organisationsform einer Arbeitsgruppe mit verschiedenen Teams sinnvoll. Der IT-Sicherheitsbeauftragte übernimmt in diesem Fall die Leitung der Arbeitsgruppe und koordiniert die einzelnen Tätigkeiten der Teams. Teilweise wird der IT-Sicherheitsbeauftragte hierbei durch das GSTOOL unterstützt. Ein Realisierungsplan (Projektplan) sowie die umgesetzten Standardsicherheitsmaßnahmen stellen das Ergebnis der 6. Phase dar. Phase 7: Aufrechterhaltung der Sicherheit und kontinuierliche Verbesserung der Informationssicherheit (vergleiche Kapitel 6 BSI-Standard 100-2) Um den Informationssicherheitsprozess aktuell zu halten und bei Bedarf stets verbessern zu können, müssen angemessene Sicherheitsmaßnahmen implementiert und der Prozess regelmäßig auf IT-Grundschutz-Profil - Anwendungsbeispiel für den Mittelstand Seite 15

18 Rahmenbedingung des Profils Effektivität und Effizienz überprüft werden (vergleiche Kapitel BSI-Standard 100-2). Insbesondere bei einer Häufung von Sicherheitsvorfällen oder gravierenden Änderungen der Rahmenbedingungen (z. B. Änderung an der Ausstattung) ist sofort zu handeln und alle Sicherheitsmaßnahmen an die aktuellen Vorfälle anzupassen. Grundsätzlich ist unbedingt bei allen Veränderungen des Sicherheitsprozesses das Management mit einzubinden und über den aktuellen Sachstand zu unterrichten, damit von dieser Ebene die erforderlichen Änderungen angestoßen werden können (vergleiche Kapitel 6.2.1, BSI-Standard 100-2) Phase 8: Zertifizierung (vergleiche Kapitel 7 BSI-Standard 100-2) Für die Grundschutz konforme Erstellung des Sicherheitskonzepts des definierten Informationsverbunds kann abschließend ein ISO Zertifikat auf der Basis von IT-Grundschutz- (vergleiche [GSZERT]) ausgestellt werden. Mit Hilfe dieses Zertifikats wird bestätigt, dass alle erforderlichen Maßnahmen nach den IT-Grundschutz-Katalogen realisiert wurden. Voraussetzung für die Vergabe eines ISO Zertifikats auf der Basis von IT-Grundschutz ist eine Überprüfung, der festgelegten Anforderungen. Diese Überprüfung wird von einem lizenzierten IT-Grundschutz Auditor oder ISO Auditor auf der Basis von IT-Grundschutz- durchgeführt. Das Ergebnis der Überprüfung ist ein Auditreport, der der BSI Zertifizierungsstelle vorgelegt wird. Auf der Grundlage des Auditreports entscheidet die Zertifizierungsstelle über die Vergabe des ISO Zertifikats auf der Basis von IT-Grundschutz-. Diese Zertifikate werden auf der Internetseite des BSI veröffentlicht. IT-Grundschutz-Profil - Anwendungsbeispiel für den Mittelstand Seite 16

19 Rahmenbedingung des Profils Um den Weg bis zum ISO Zertifikat auf der Basis von IT- Grundschutz durch das BSI zu erleichtern, definiert das BSI zwei Vorstufen zum eigentlichen IT-Grundschutz-Zertifikat: - das Auditor-Testat IT-Grundschutz Einstiegsstufe und - das Auditor-Testat IT-Grundschutz Aufbaustufe. Die Testate werden von einem Zeichnungsbefugten der Institution zusammen mit der Bestätigung eines lizenzierten Auditors an das BSI übergeben. Nachfolgend werden diese Testate unter namentlicher Nennung des mitwirkenden Auditors auf der entsprechenden Internetseite des BSI veröffentlicht. (vergleiche [GSZERT]). Die Durchführung der Arbeiten in den dargestellten Phasen wird vom IT- Sicherheitsbeauftragten als Projekt organisiert. Er muss daher von seinem Arbeitgeber ausreichend Arbeitszeit zur Verfügung gestellt bekommen und die Unterstützung durch weitere Mitarbeiter (z. B. Anwender, Verantwortliche) zu den erforderlichen Zeitpunkten eingeplant und gesichert sein. Im folgenden Kapitel 3 wird der Informationsverbund einer mittelgroßen Institution beispielhaft beschrieben. Dieses Beispiel wird verwendet, um die skizzierten Phasen zur Erstellung eines Sicherheitskonzepts nach der Methodik nach IT-Grundschutz und mit Unterstützung des GSTOOL detailliert zu erläutern. IT-Grundschutz-Profil - Anwendungsbeispiel für den Mittelstand Seite 17

20 Definition und Abgrenzung des Informationsverbundes 3 Definition und Abgrenzung des Informationsverbundes Dieser Abschnitt beschreibt beispielhaft zunächst den Informationsverbund der Institution aus der Sicht des Institutsleiters also aus einer organisatorischen Sicht. Die Beschreibung des Informationsverbundes nach IT-Grundschutz erfolgt in Kapitel 5 dieses Profils (Strukturanalyse). Netzplan In der nachfolgenden Abbildung 2 sind die Systeme und deren Vernetzung in den einzelnen Abteilungen aufgeführt. Der Netzplan orientiert sich am Organigramm der Institution und beinhaltet sämtliche Komponenten der Informationstechnologie. Jedem Mitarbeiter (Nutzer) steht an seinem Arbeitsplatz ein eigenes Telefon zur Verfügung, der Übersichtlichkeit halber sind diese im Netzplan nicht gesondert aufgeführt. Ein Telefax, sofern nicht der PC des Mitarbeiters diese Funktion übernimmt und ein Anrufbeantworter stehen zentral bei der Sekretärin des Institutsleiters zur Verfügung. Drucker und Fotokopierer befinden sich in einem zentralen Kopierraum. Zusätzlich sind die Arbeitsplätze des Institutsleiters, der Sekretärinnen, sämtlicher Abteilungsleiter und des Qualitätsmanagement (QM) / Sicherheitsbeauftragten mit einem eigenen Drucker ausgestattet. Aufgrund der Abteilungsgröße steht den Mitarbeitern der Abteilung Produktion ein zusätzlicher Abteilungsdrucker zur Verfügung. IT-Grundschutz-Profil - Anwendungsbeispiel für den Mittelstand Seite 18

21 TA L K / D A TA T A LK RS C S T R RD T D CD Definition und Abgrenzung des Informationsverbundes Telefon Internet Vermittlungsstelle Telefongesellschaft Zeiterfassung Telefonanlage Splitter Gast-PC Mailserver Firewall Kopierer Paketfilter File-/Printserver R210 Switch R205 Drucker R203 PC Herr Dacher R103 PC Herr Baumeister PC Herr Idt R204 PC Herr Jacobi PC Herr Albrecht R101 PC Frau Claasen R201 PC Herr Gerhart FW-Int PC Frau Ahrens R101a Fax Anrufbeantw. PC Frau Heuer R202 PCsMitarbeiter PC Frau Feist R301 R311 PC Herr Erhard PCs Mitarbeiter Herr Kurth PCs Mitarbeiter Herr Lucht PCsMitarbeiter Herr Mertens PCsMitarbeiter R312 Abt. Drucker PC Frau Eiler R301a PC Herr Kurth R302 PC Herr Lucht R303 PC Herr Mertens R304 Abbildung 2: mittlerer Informationsverbund IT-Grundschutz-Profil - Anwendungsbeispiel für den Mittelstand Seite 19