MUSTER. [ Originalbericht ist i.a. VS NUR FÜR DEN DIENSTGEBRAUCH einzustufen ] IS-Revisionsbericht. IS-Kurzrevision auf Basis von IT-Grundschutz.

Transkript

1 MUSTER [ Originalbericht ist i.a. VS NUR FÜR DEN DIENSTGEBRAUCH einzustufen ] *) Durch Logo der prüfenden Institution zu ersetzen IS-Revisionsbericht IS-Kurzrevision auf Basis von IT-Grundschutz des Bundesamtes für Organisation und Verwaltung (BOV) Standort Bonn (BOV-Allee 1) November 2012

2 1. RAHMENDATEN Revisionsgegenstand Revisionsteam Ansprechpartner Anlass Grundlagen und Anforderungen Zeitlicher Ablauf Verteiler IS-Kurzrevision des Bundesamtes für Organisation und Verwaltung (BOV), Standort Bonn (BOV-Allee 1) Herr Markus Mustermann (BSI, Ref. 0815) Frau Erika Mustermann (BSI, Ref. 0815) Herr Siggi Sicher (IT-Sicherheitsbeauftragter) Antrag des BOV auf Durchführung einer IS-Kurzrevision vom ) BSI Leitfaden IS-Revision (Version /2010) 2) BSI IT-Grundschutz Standards: Version 1.5 (05/2008) Version 2.0 (05/2008) Version 2.5 (05/2008) Version 1.0 (11/2008) 3) BSI IT-Grundschutzkataloge 12. Ergänzungslieferung Vor-Ort-Prüfung: Übergabe IS-Revisionsbericht Herr Siggi Sicher (IT-Sicherheitsbeauftragter) mit der Bitte um Weiterleitung an die Behördenleitung Datei _Beispiel_BerichtISKurzrev-BOV.odt Druckdatum Dokumentenstatus [ ] Entwurf [ ] Abstimmungsversion [x] Finaler Bericht BOV - IS-Kurzrevision Seite 2 von

3 2. EINLEITUNG Die IS-Kurzrevision verschafft dem IS-Management einen Überblick über den Sicherheitsstatus in der Institution. Betrachtet werden Aspekte aus dem IT-Grundschutz, die eine wesentliche Grundlage für Informationssicherheit bilden und sich aufgrund von Erfahrungswerten als risikobehaftet erwiesen haben. Bei der IS-Kurzrevision geht das IS-Revisionsteam nicht maßnahmen-, sondern themenorientiert vor. Die Prüfthemen sind in der Ergebnisübersicht in Kapitel 4 dargestellt. Die IS-Kurzrevision geht nur auf ausgewählte Aspekte der Informationssicherheit ein und ersetzt somit nicht eine IS-Querschnittsrevision. Weitergehende Bewertungen und quantitative Auswertungen können durch andere IS- Revisionsarten z.b. durch eine IS-Partialrevision oder eine IS-Querschnittsrevision vorgenommen werden. 3. ANMERKUNGEN ZUR DURCHFÜHRUNG Das Revisionsteam wurde zu jeder Zeit freundlich und konstruktiv unterstützt. Für alle Prüfthemen standen kompetente und aufgeschlossene Ansprechpartner zur Verfügung. Der Zutritt zu den Räumlichkeiten und Zugang zu den Systemen war sichergestellt und auf kurzfristige Nachfragen des Revisionsteams wurde flexibel reagiert. Das Revisionsteam bedankt sich für die gute Zusammenarbeit. 4. ERGEBNISÜBERSICHT Die Ergebnisse der IS-Kurzrevision sind in der nachfolgenden Tabelle in Übersichtsform dargestellt und geben den Gesamtstatus der IT-Sicherheit im BOV wieder. Die festgestellten Sicherheitsmängel sind nachfolgend in Kapitel 5 detailliert beschrieben. Schicht 1 Übergreifende Aspekte Kritische Geschäftsprozesse Sicherheitskonzept Sicherheitsmängel festgestellt Personal Versions- und Änderungsmanagement Schulung und Sensibilisierung Behandlung von Sicherheitsvorfällen Schwerwiegende Sicherheitsmängel festgestellt BOV - IS-Kurzrevision Seite 3 von

4 Notfallkonzept Nein - Datensicherung Outsourcing Schicht 2 Infrastruktur Elektrische Verkabelung, IT- Verkabelung, Versorgungsleitungen Zutrittskontrolle Sicherheitsmängel festgestellt Brandschutz Klimatisierung Nein - Stromversorgung Sicherheitsmängel festgestellt Schicht 3 IT-Systeme Sichere Grundkonfiguration der Server und Clients Berechtigungsvergabe Sicherheitsmängel festgestellt Mobile Endgeräte Multifunktionsgeräte Sicherheitsgateways Sicherheitsmängel festgestellt Schicht 4 Netze Netzdokumentation und Netzverwaltung Netzwerk- und Systemmanagement Konfiguration und sicherer Betrieb der Netzkomponenten Sicherung der Netzwerkzugänge BOV - IS-Kurzrevision Seite 4 von

5 Schicht 5 IT-Anwendungen / Webauftritt Anwendungen Sicherheitsmängel festgestellt Mobile Datenträger und Datenträgeraustausch Schwerwiegende Sicherheitsmängel festgestellt BOV - IS-Kurzrevision Seite 5 von

6 5. FESTGESTELLTE SICHERHEITSMÄNGEL Soweit nicht näher bezeichnet, gelten die aufgeführten Feststellungen für alle vergleichbaren Zielobjekte des Informationsverbundes. Schwerwiegende Sicherheitsmängel sind gesondert gekennzeichnet. IT-GRUNDSCHUTZSCHICHT: ÜBERGREIFENDE ASPEKTE 1. Eine Definition der kritischen Fachaufgaben sowie eine Schutzbedarfsfeststellung der diese Fachaufgaben unterstützenden IT-Verfahren und deren Abhängigkeiten konnte nicht vorgelegt werden. 2. Das vorgelegte Sicherheitskonzept ist unvollständig und entspricht nicht den Vorgaben des BSI-Standards Schwerwiegender Sicherheitsmangel: Eine Richtlinie zur Behandlung von Sicherheitsvorfällen konnte nicht vorgelegt werden. Etablierte Prozesswege zur Behandlung von Sicherheitsvorfällen unter Einbindung des Sicherheitsmanagements konnten nicht festgestellt werden. 4. Schulungs- und Sensibilisierungsmaßnahmen zur Informationssicherheit werden nicht regelmäßig durchgeführt. IT-GRUNDSCHUTZSCHICHT: INFRASTRUKTUR 1. In den Serverräumen wurden teilweise massive Brandlasten in Form von Umverpackungen, Sicherungsbändern und Kartonagen vorgefunden. 2. Über die Raucherecke im Bereich der Warenannahme ist ein unkontrollierter Zutritt von externen Personen zu allen Gebäudeteilen jederzeit problemlos möglich. 3. Ein Brandschutzkonzept befindet sich noch in der Erstellung. IT-GRUNDSCHUTZSCHICHT : IT-SYSTEME 1. Änderungs- und Patchmanagementprozesse sind unzureichend etabliert. Änderungen werden aufgrund nicht vorhandener Freigabeverfahren und fehlender Testsysteme im Produktivbetrieb durchgeführt und nicht dokumentiert. 2. Ein dokumentiertes und kontrolliertes Freigabeverfahren zur Einrichtung von Regeln und Durchführung von Änderungen am Regelwerk von Sicherheitsgateways konnte nicht festgestellt werden. 3. Alle Server protokollieren Ereignisse ausschließlich lokal. Eine Auswertung dieser lokalen Ereignisprotokolle erfolgt lediglich anlaßbezogen. IT-GRUNDSCHUTZSCHICHT: NETZE Es wurden keine Mängel festgestellt BOV - IS-Kurzrevision Seite 6 von

7 IT-GRUNDSCHUTZSCHICHT: IT-ANWENDUNGEN 1. Schwerwiegender Sicherheitsmangel: Technische Maßnahmen, die die Nutzung nicht-dienstlicher mobiler Datenträger über externe Schnittstellen (USB, CD's / DVD's / Firewire) verhindern und die zulässige Nutzung absichern, konnten nicht festgestellt werden. 2. Mobile, dienstliche Datenträger werden nicht eindeutig gekennzeichnet, nicht inventarisiert und nicht kryptiert. 6. Votum zur Durchführung einer IS-Querschnittsrevision Aufgrund folgender, festgestellter Sachverhalte: Es wurde ein IT-Sicherheitsbeauftragter bestellt und ein Informationssicherheitsmanagementprozeß nach BSI Standard ist vorhanden. Es liegt ein vollständiges und aktuelles IT-Sicherheitskonzept (einschl. Strukturanalyse, bereinigtem Netzplan und Schutzbedarfsfeststellung) nach BSI Standard vor. Der Umsetzungsstand der IT-Grundschutzmaßnahmen wird als ausreichend für eine IS-Querschnittsrevision bewertet. [X] Nein [ ] [ ] [ ] Nein [X] Nein [X] empfiehlt das IS-Revisionsteam als nächste IS-Revision eine: [ ] IS-Querschnittsrevision [ X ] IS-Kurzrevision 7. HINWEIS Das BSI bietet individuelle Beratung und weitere Dienstleistungen für Ihre Behörde an. Bei Interesse können Sie sich jederzeit gerne an Ihren zuständigen Behördenbetreuer in der Sicherheitsberatung des BSI wenden. Ihr zuständiger Behördenbetreuer ist: Herr Günther Fragmich Telefon: guenther.fragmich@bsi.bund.de BOV - IS-Kurzrevision Seite 7 von