ORP.5: Compliance Management (Anforderungsmanagement)

Transkript

1 i Community Draft ORP: Organisation und Personal ORP.5: Compliance Management (Anforderungsmanagement) 1 Beschreibung 1.1 Einleitung IT-Grundschutz In jeder Institution gibt es aus den verschiedensten Richtungen gesetzliche, vertragliche, strukturelle und interne Richtlinien und Vorgaben, die beachtet werden müssen. Viele davon haben direkte oder indirekte Auswirkungen auf das Informationssicherheitsmanagement. Die Anforderungen sind je nach Branche, Land und anderen Rahmenbedingungen unterschiedlich. Weiterhin unterliegt beispielsweise eine Behörde anderen eternen Regelungen als eine Aktiengesellschaft. Die Leitungsebene der Institution muss die Einhaltung der Anforderungen (neudeutsch: Compliance) sicherstellen und ein Compliance Management System betreiben. Je nach Größe einer Institution kann diese verschiedene Managementprozesse haben, die sich mit unterschiedlichen Aspekten des Risikomanagements beschäftigen, z. B. Sicherheitsmanagement, Datenschutzmanagement, Compliance Management, Controlling. Diese sollten vertrauensvoll zusammenarbeiten, um Synergieeffekte zu nutzen und Konflikte frühzeitig auszuräumen. 1.2 Zielsetzung Ziel des Bausteins Compliance Management ist es, aufzuzeigen, wie jederzeit ein Überblick über die verschiedenen Anforderungen an die einzelnen Bereiche einer Institution geschaffen werden kann. Dazu wird beschrieben, wie aus gesetzlichen, vertraglichen, strukturellen und internen Richtlinien und Vorgaben Sicherheitsanforderungen abgeleitet werden können. 1.3 Abgrenzung In diesem Baustein werden ausgewählte Anforderungen betrachtet, die sich aus gesetzlichen oder vertraglichen Vorgaben ergeben und die Auswirkungen auf die Gestaltung der Informationssicherheit in der Institution haben. Es wird nicht auf bereichsspezifische Gesetze eingegangen. 2 Gefährdungslage Folgende spezifische Bedrohungen und Schwachstellen sind im Bereich Compliance Management von besonderer Bedeutung: CD 1, zuletzt aktualisiert: Seite 1 von 7

2 2.1 Verstoß gegen rechtliche Vorgaben Die unzureichende Umsetzung von Informationssicherheit kann dazu führen, dass gegen gesetzliche Regelungen oder vertragliche Vereinbarungen verstoßen wird. Institution müssen außerdem eine Vielzahl branchenspezifischer, nationaler und internationaler rechtlicher Rahmenbedingungen beachten. Da dies sehr komple werden kann, kann es passieren, dass unabsichtlich gegen rechtliche Vorgaben verstoßen wird oder dies sogar vorsätzlich in Kauf genommen wird. Beispiel: Viele Cloud-Dienstleister bieten ihre Services in einem internationalen Umfeld an. Damit unterliegen die Anbieter oft anderen nationalen Gesetzgebungen. Häufig sehen Cloud-Anwender nur auf niedrige Kosten und schätzen die zu beachtenden rechtlichen Rahmenbedingungen wie Datenschutz, Informationspflichten, Insolvenzrecht, Haftung, Informationszugriff für Dritte falsch ein. 2.2 Unzulässige Weitergabe von Informationen Durch das Fehlverhalten von Personen kann es dazu kommen, dass schützenswerte Informationen unzulässig weitergegeben werden. Beispiele hierfür sind: Vertrauliche Informationen werden in Hörweite fremder Personen diskutiert, beispielsweise in Pausengesprächen von Besprechungen oder über Mobiltelefonate in öffentlichen Umgebungen. Der Vorgesetzte einer Fachabteilung verdächtigt einen Mitarbeiter, mit der Konkurrenz zusammenzuarbeiten. Um ihm dies nachzuweisen, bittet er den Leiter des IT-Betriebs, ihm "auf dem kleinen Dienstweg" Einblick in die s dieses Mitarbeiters zu geben. Der Leiter IT-Betrieb weist den Mail-Administrator an, hierfür einen Zugriff einzurichten, ohne die hierfür notwendigen Zustimmungen einzuholen. 2.3 Unzureichende Identifikationsprüfung von Kommunikationspartnern In persönlichen Gesprächen, am Telefon oder auch in s sind viele Personen bereit, weit mehr Informationen preiszugeben, als sie das in schriftlicher Form oder in größerer Runde tun würden. Hierbei wird häufig vom Kommunikationspartner stillschweigend erwartet, dass die Gesprächs- oder -Inhalte vertraulich behandelt werden. Darüber hinaus besteht die Neigung, die Identität des Kommunikationspartners nicht zu hinterfragen, da dies als unhöflich empfunden wird. Ebenso werden häufig Berechtigungen nicht ausreichend geprüft, sondern aus der (behaupteten) Rolle implizit abgeleitet. Typische Beispiele hierfür sind: Ein Mitarbeiter erhält eine von einem angeblichen Bekannten seiner Vorgesetzten, mit der angeblich die schnelle Überweisung eines ausstehenden Betrages vereinbart wurde. Ein Mann im Blaumann mit Montagekoffer erhält Zugang zum Rechenzentrum, nachdem er etwas von "Wasserrohren" murmelt. 2.4 Unbeabsichtigte Weitergabe interner Informationen Bei der Weitergabe von Informationen kommt es immer wieder vor, dass neben den gewünschten Informationen versehentlich auch andere Informationen übermittelt werden. Dadurch können vertrauliche geeignete Informationen in die falschen Hände geraten. Beispiele hierfür sind alte Dateien oder Restinformationen auf weitergegebenen Datenträgern, Übermittlung anderer als der vorgesehenen Daten oder Versand an falsche Empfänger konnte ein französischer Fernsehsender stundenlang kein Programm ausstrahlen, nachdem Hacker sich Zugriff auf interne IT-Systeme verschafft hatten. In einer Pressekonferenz, nachdem der Sender wieder arbeiten konnte, wurde im Hintergrund eine Notizwand in alle Welt übertragen, an der Passwörter für alle möglichen internen und eternen Kennungen hingen. CD 1, zuletzt aktualisiert: Seite 2 von 7

3 3 Anforderungen Im Folgenden sind spezifische Anforderungen für den Bereich Compliance Management aufgeführt. Die Aufgabe des Compliance Management wird typischerweise an einen oder mehrere Mitarbeiter übertragen. Die Rolle wird im Folgenden mit Compliance Manager bezeichnet. In einigen Unternehmen wird z. B. auch die Bezeichnung " Anforderungsmanager" benutzt. Sofern dies nicht durch andere Regelungen vorgeschrieben ist, müssen hierfür aber keine neuen Stellen geschaffen werden. Die Aufgabe kann beispielsweise vom Sicherheitsmanagement, der Revision, dem Controlling oder dem Justiziariat mit übernommen werden. Grundsätzlich ist der Compliance Manager für die Erfüllung der Anforderungen zuständig. Falls kein Compliance Manager benannt wurde, bleibt die Leitungsebene zuständig. Abweichungen hiervon werden in den entsprechenden Anforderungen gesondert erwähnt. Der Informationssicherheitsbeauftragte (ISB) ist bei strategischen Entscheidungen, die die Informationssicherheit betreffen, stets einzubeziehen. Außerdem ist der ISB dafür verantwortlich, dass alle Anforderungen gemäß dem festlegten Sicherheitskonzept erfüllt und überprüft werden. Zusätzlich kann es noch andere Rollen geben, die weitere Verantwortlichkeiten bei der Umsetzung von Anforderungen haben. Diese sind dann jeweils eplizit in eckigen Klammern in der Überschrift der jeweiligen Anforderungen aufgeführt. Bausteinverantwortlicher Weitere Verantwortliche Compliance Manager Behörden-/Unternehmensleitung, Leiter Organisation, Personalabteilung, Vorgesetzte 3.1 Basisanforderungen Die folgenden Anforderungen MÜSSEN umgesetzt werden: ORP.5.A1 Identifikation der rechtlichen Rahmenbedingungen [Behörden-/Unternehmensleitung, Leiter Organisation] In der Institution MUSS ein Prozess aufgebaut sein, um alle relevanten gesetzlichen, vertraglichen und sonstigen Vorgaben zu identifizieren. Alle rechtlichen Rahmenbedingungen mit Auswirkungen auf das Sicherheitsmanagement MÜSSEN identifiziert und dokumentiert werden. Die für die einzelnen Bereiche der Institution relevanten gesetzlichen und vertraglichen Vorgaben SOLLTEN in einer strukturierten Übersicht herausgearbeitet werden. Die Dokumentation MUSS auf dem aktuellen Stand gehalten werden. Die als sicherheitsrelevant identifizierten Anforderungen MÜSSEN bei der Planung und Konzeption von Geschäftsprozessen, Anwendungen und IT-Systemen oder bei der Beschaffung neuer Komponenten einfließen. ORP.5.A2 Beachtung rechtlicher Rahmenbedingungen [Behörden-/Unternehmensleitung, Leiter Organisation, Vorgesetzte] Führungskräfte, welche die rechtliche Verantwortung für die Institution vor Ort tragen, MÜSSEN für die Einhaltung der rechtlichen Vorgaben sorgen. Die Verantwortlichkeiten und Zuständigkeiten für die Einhaltung rechtlicher Vorgaben MÜSSEN festgelegt sein. Es MÜSSEN geeignete Maßnahmen identifiziert und umgesetzt werden, um Verstöße gegen relevante Anforderungen zu vermeiden. Wenn Verstöße gegen relevante Anforderungen erkannt werden, MÜSSEN sachgerechte Korrekturmaßnahmen ergriffen werden, um die Abweichungen zu beheben. ORP.5.A3 Verpflichtung der Mitarbeiter auf Einhaltung einschlägiger Gesetze, Vorschriften und Regelungen [Personalabteilung, Vorgesetzte] Alle Mitarbeiter MÜSSEN in einschlägige Gesetze (z. B. zum Datenschutz), Vorschriften und interne Regelungen eingewiesen und verpflichtet werden, diese einzuhalten. Den Mitarbeitern MUSS bekannt sein, welcher rechtliche Rahmen ihre Tätigkeit bestimmt. CD 1, zuletzt aktualisiert: Seite 3 von 7

4 3.2 Standardanforderungen Gemeinsam mit den Basisanforderungen entsprechen die folgenden Anforderungen dem Stand der Technik im Bereich Compliance Management. Sie SOLLTEN grundsätzlich umgesetzt werden. ORP.5.A4 Konzeption und Organisation des Compliance Managements [Behörden-/Unternehmensleitung] Es SOLLTEN geeignete Prozesse und Organisationsstrukturen aufgebaut werden, um den Überblick über die verschiedenen rechtlichen Anforderungen an die einzelnen Bereiche der Institution zu gewährleisten. Dafür SOLLTEN Verantwortliche benannt und deren Aufgaben in Bezug auf das Compliance Management festgelegt werden. Compliance Manager und ISB SOLLTEN regelmäßig zusammenarbeiten. Sie SOLLTEN gemeinsam Sicherheitsanforderungen ins Compliance Management integrieren, sicherheitsrelevante Anforderungen in Sicherheitsmaßnahmen überführen und deren Umsetzung kontrollieren. ORP.5.A5 Ausnahmegenehmigungen [ISB, Vorgesetzte] In Einzelfällen kann es erforderlich sein, von getroffenen Regelungen abzuweichen. Begründete Ausnahmen SOLLTEN aber in jedem Fall durch eine autorisierte Stelle nach einer Risikoabschätzung genehmigt werden. Es SOLLTE ein Genehmigungsverfahren für Ausnahmegenehmigungen geben. Es SOLLTE eine Übersicht über alle erteilten Ausnahmegenehmigungen geben. Ein entsprechendes Verfahren für die Dokumentation und ein Überprüfungsprozess SOLLTE etabliert werden. Alle Ausnahmegenehmigungen SOLLTEN befristet sein. ORP.5.A6 Einweisung des Personals in den sicheren Umgang mit IT [Personalabteilung, Vorgesetzte] Alle Mitarbeiter und alle eternen IT-Benutzer SOLLTEN in den sicheren Umgang mit der IT der Institution eingewiesen werden. Dazu SOLLTE ihnen eine verbindliche, verständliche, aktuelle und verfügbare Richtlinie zur IT-Nutzung an die Hand gegeben werden. Diese Richtlinie SOLLTE beschreiben, welche Rechte und Pflichten sie bei der IT-Nutzung haben und welche Sicherheitsmaßnahmen zu ergreifen sind. Veränderungen SOLLTEN den Mitarbeitern rechtzeitig bekannt gegeben werden. ORP.5.A7 Aufrechterhaltung der Informationssicherheit [ISB] Um das bestehende Sicherheitsniveau aufrechtzuerhalten und fortlaufend zu verbessern, SOLLTEN alle Sicherheitsmaßnahmen des Sicherheitskonzeptes regelmäßig auf Einhaltung und Verbesserungsbedarf überprüft werden. Die Prüfungen SOLLTEN durch unabhängige, fachlich qualifizierte, interne oder eterne Personen durchgeführt werden. Die Ergebnisse der Überprüfungen SOLLTEN nachvollziehbar dokumentiert und der Leitung bekannt gegeben werden. Gefundene Mängel SOLLTEN zeitnah behoben werden. ORP.5.A8 Regelmäßige Überprüfungen des Compliance Managements Es SOLLTE ein Verfahren etabliert sein, wie das Compliance Management und die sich aus diesem ergebenden Anforderungen und Maßnahmen regelmäßig auf Effizienz und Effektivität überprüft werden (siehe auch DER.1.3 Audits und Revisionen). Es SOLLTE regelmäßig geprüft werden, ob die Organisationsstruktur und die Prozesse des Compliance Managements noch angemessen sind. 3.3 Anforderungen bei erhöhtem Schutzbedarf Im Folgenden sind eemplarische Vorschläge für Anforderungen aufgeführt, die über das dem Stand der Technik entsprechende Schutzniveau hinausgehen und BEI ERHÖHTEM SCHUTZBEDARF in Betracht gezogen werden SOLLTEN. Die konkrete Festlegung erfolgt im Rahmen einer Risikoanalyse. Die jeweils in Klammern angegebenen Buchstaben zeigen an, welche Grundwerte durch die CD 1, zuletzt aktualisiert: Seite 4 von 7

5 Anforderung vorrangig geschützt werden (C = Vertraulichkeit, I = Integrität, A = Verfügbarkeit). ORP.5.A9 Schutz gegen nachträgliche Veränderungen von Informationen [ISB, Benutzer] (I) Damit Dateien nicht unbemerkt verändert werden können, SOLLTEN ausreichende Sicherheitsmaßnahmen ergriffen werden. Je nach Datenformat und Schutzbedarf SOLLTEN dafür geeignete Methoden ausgewählt werden. Dazu gehören beispielsweise digitale Signaturen und andere kryptographische Verfahren, Copyright-Vermerke oder die Verwendung von Dateiformaten, die nachträgliche Änderungen bzw. auszugsweise Weiterverarbeitung erschweren. Die Mitarbeiter SOLLTEN informiert werden, welche Sicherheitsmechanismen hierfür eingesetzt werden sollen und wie diese zu benutzen sind. ORP.5.A10 Klassifizierung von Informationen [ISB] (CIA) Es gibt in vielen Bereichen einer Institution Informationen, die einen höheren Schutzbedarf haben oder besonderen Restriktionen unterliegen, z. B. personenbezogene, finanzrelevante, vertrauliche oder Copyright-geschützte Daten. Für diese gelten je nach ihrer Kategorisierung unterschiedliche Beschränkungen im Umgang mit ihnen. Daher SOLLTEN möglichst alle Informationen entsprechend ihrem Schutzbedarf klassifiziert und, falls möglich, gekennzeichnet werden. Die Mitarbeiter SOLLTEN regelmäßig auf den sorgfältigen Umgang mit Informationen hingewiesen sowie über die Restriktionen beim Umgang mit klassifizierten Daten informiert werden. ORP.5.A11 Erhebung der rechtlichen Rahmenbedingungen für kryptographische Verfahren und Produkte [IT-Betrieb, Verantwortliche der einzelnen Anwendungen] (CI) Beim Einsatz kryptographischer Produkte sind diverse gesetzliche Rahmenbedingungen zu beachten. Die rechtlichen Rahmenbedingungen für den Einsatz kryptographischer Verfahren und Produkte SOLLTEN für alle Länder ermittelt und dokumentiert werden, in denen diese genutzt werden sollen. 4 Weiterführende Informationen Weiterführende Informationen zu Gefährdungen und Sicherheitsmaßnahmen im Compliance Management finden sich unter anderem in folgenden Veröffentlichungen: Archivierter IT-Grundschutz-Baustein: B 1.16 Anforderungsmanagement, ISO/IEC 27002:2013, Information technology Security techniques Code of practice for information security controls, insbesondere Kapitel 18 "Compliance" ISO 19600:2014, Compliance management systems Mit dem IT-Grundschutz publiziert das Bundesamt für Sicherheit in der Informationstechnik (BSI) Empfehlungen zur Informationssicherheit. Kommentare und Hinweise können von Lesern an grundschutz@bsi.bund.de gesendet werden. CD 1, zuletzt aktualisiert: Seite 5 von 7

6 5 Anlage: Kreuzreferenztabelle zu elementaren Gefährdungen Die folgenden elementaren Gefährdungen sind für Compliance Management von Bedeutung: G 0.29 Verstoß gegen Gesetze oder Regelungen CD 1, zuletzt aktualisiert: Seite 6 von 7

7 Tabelle: Kreuzreferenztabelle Compliance Management Gefährdungen Anforderungen A1 A2 A3 G 0.29 X A4 A5 A6 A7 A8 A9 A10 A11 CD 1, zuletzt aktualisiert: Seite 7 von 7