M U S T E R. (Stand:September 2008/Version:1.0) IS-Prüfplan. zur. Informationssicherheitsrevision auf Basis von IT-Grundschutz

Transkript

1 M U S T E R (Stand:September 2008/Version:1.0) IS-Prüfplan zur Informationssicherheitsrevision auf Basis von IT-Grundschutz Bundesamt für Organisation und Verwaltung (BOV) Dezember 2008 BOV - IS-Revision nach UP-Bund 12/08 IS-Prüfplan vom Seite 1 von 11

2 Inhaltsverzeichnis VERSIONSHISTORIE...3 [A]-BAUSTEIN-ZIELOBJEKTE NACH MODELLIERUNG...4 [B]-PRÜFUNGSRELEVANTE BAUSTEIN-ZIELOBEKTE...5 [C]-PRÜFUNGSRELEVANTE BAUSTEIN-ZIELOBEKTE MIT MASSNAHMEN...6 [C.1]-SCHICHT 1 ÜBERGEORDNETE ASPEKTE...6 [C.2]-SCHICHT 2 INFRASTRUKTUR...7 [D]-DOKUMENTATION DER PRÜFUNGSHANDLUNGEN...8 [D.1]-SCHICHT 1 ÜBERGEORDNETE ASPEKTE...8 [D.2]-SCHICHT 2 INFRASTRUKTUR...10 [D.x]-SCHICHT x xxxxxxxxxxxxxxxx...11 BOV - IS-Revision nach UP-Bund 12/08 IS-Prüfplan vom Seite 2 von 11

3 VERSIONSHISTORIE VERSION DATUM AUTOR ÄNDERUNG Mustermann Erste Entwurfsversion des Planes Mustermann Überarbeitung Kapitel D.1 bei Dokumentensichtung Musterfrau Überarbeitung Kapitel D.2 nach vollständiger Dokumentensichtung Mustermann Überarbeitung Kapitel D während Vor-Ort-Revision Mustermann/Musterfrau Endbearbeitung nach Vor-Ort- Revision Alle Personalbegriffe in diesem Dokument beziehen sich in gleicher Weise auf Frauen und Männer. Wird im Text die männliche Form verwendet, geschieht dies ausschließlich aus Gründen der leichteren Lesbarkeit. BOV - IS-Revision nach UP-Bund 12/08 IS-Prüfplan vom Seite 3 von 11

4 [A]-BAUSTEIN-ZIELOBJEKTE NACH MODELLIERUNG SCHICHT BAUSTEIN ZIELOBEJKT(E) Schicht 1:Übergeordnete Aspekte Schicht 2:Infrastruktur Schicht 3:IT-Systeme Schicht 4:Netze Schicht 5:Anwendungen B 1.0 IT-Sicherheitsmanagement B 1.1 Organisation B 1.2 Personal B 1.3 Notfallvorsorge-Konzept B 1.4 Datensicherungskonzept B 1.6 Computer-Viren-Schutzkonzept B 1.8 Behandlung von Sicherheitsvorfällen B 1.9 Hard- und Software-Management B 1.10 Standardsoftware B 1.12 Archivierung B 1.13 IT-Sicherheitssensibilisierung und -Schulung B 2.1 Gebäude B 2.3 Büroraum B 2.4 Serverraum B 2.5 Datenträgerarchiv B 2.6 Raum für technische Infrastruktur B 2.11 Besprechungs-, Veranstaltungsund Schulungsräume B Allgemeiner Server B Windows Server 2003 B Allgemeiner Client B Client unter W2K B 4.1 Heterogene Netze B 5.2 Datenträgeraustausch B 5.4 Webserver B 5.10 Internet Information Server Anzahl Baustein-Zielobjekte nach Modellierung:31 (ohne B 1.0) B-RAUM-1 B-RAUM-2 S-RAUM-1 S-RAUM-2 DAT-ARCH V-RAUM BESP-RAUM IS FILE IS FILE WS WS NET-PROD NET-TEST BOV - IS-Revision nach UP-Bund 12/08 IS-Prüfplan vom Seite 4 von 11

5 [B]-PRÜFUNGSRELEVANTE BAUSTEIN-ZIELOBEKTE SCHICHT BAUSTEIN ZIELOBJEKTE BEGRÜNDUNG DER PRÜFUNGSRELEVANZ Schicht 1:Übergeordnete Aspekte Schicht 2:Infrastruktur Schicht 3:IT-Systeme B 1.0 IT-Sicherheitsmanagement Obligatorisch B 1.3 Notfallvorsorge-Konzept Hoher Schutzbedarf im Schutzziel Verfügbarkeit bei mehreren Verfahren B 2.1 Gebäude Gebäude in dem sich S-RAUM-1 und Hauptverteiler befinden B 2.4 Serverraum S-RAUM-1 Serverraum in dem die Verfahren mit dem höchsten Schutzbedarf betrieben werden B Allgemeiner Server B Windows Server 2003 IS FILE IS FILE IS, und FILE sind Single Point of Failures (SPOF's) in Verfahren mit hohem Schutzbedarf IS, und FILE sind SPOF's in Verfahren mit hohem Schutzbedarf B Allgemeiner Client WS Standard-Client zur Bürokommunikation B Client unter W2K WS Standard-Client zur Bürokommunikation Schicht 4:Netze B 4.1 Heterogene Netze NET-PROD Produktionsnetz Schicht 5:Anwendungen B 5.2 Datenträgeraustausch Anzahl Prüfungsrelevante Baustein-Zielobjekte:13 (ohne B 1.0) (42% der Baustein-Zielobjekte nach Modellierung) Austausch von Datenbeständen aus Verfahren mit hohem Schutzbedarf im Schutzziel Vertraulichkeit (Organisationsuntersuchungen von Sicherheitsbehörden des Bundes) erfolgt teilweise über Datenträger BOV - IS-Revision nach UP-Bund 12/08 IS-Prüfplan vom Seite 5 von 11

6 [C]-PRÜFUNGSRELEVANTE BAUSTEIN-ZIELOBEKTE MIT MASSNAHMEN [C.1]-SCHICHT 1 ÜBERGEORDNETE ASPEKTE Begründung der Maßnahmenauswahl: Für Baustein B 1.0 ist laut Leitfaden für die IS-Revision die Prüfung aller Maßnahmen obligatorisch. BAUSTEIN ZIELOBJEKT MASSNAHME B 1.0 IT-Sicherheitsmanagement (-14- Maßnahmen) M Erstellung einer IT-Sicherheitsleitlinie M Festlegung der IT-Sicherheitsziele und -Strategie M Übernahme der Gesamtverantwortung für IT-Sicherheit durch die Leitungsebene M Aufbau einer geeigneten Organisationsstruktur für IT-Sicherheit M Erstellung eines IT-Sicherheitskonzeptes M Integration der Mitarbeiter in den Sicherheitsprozess M Integration der IT-Sicherheit in organisationsweite Abläufe und Prozesse M Erstellung von zielgruppengerechten IT-Sicherheitsrichtlinien M Wirtschaftlicher Einsatz von Ressourcen für IT-Sicherheit M Aufrechterhaltung der IT-Sicherheit M Managementreporte und -Bewertungen der IT-Sicherheit M Dokumentation des IT-Sicherheitsprozesses M Beachtung rechtlicher Rahmenbedingungen M Ausnahmegenehmigungen Anzahl Prüfungsrelevante Maßnahmen:14 (100% der Maßnahmen des Baustein-Zielobjektes) BOV - IS-Revision nach UP-Bund 12/08 IS-Prüfplan vom Seite 6 von 11

7 [C.2]-SCHICHT 2 INFRASTRUKTUR Begründung der Maßnahmenauswahl: Bei der Auswahl der prüfungsrelevanten Maßnahmen der Bausteine in Schicht 2 (Infrastruktur) wurde ein besonderer Fokus auf Maßnahmen aus den Themenbereichen Brandschutz und Zutrittskontrolle gelegt, da im Jahr 2007 ein Brand im Lager (Raum E.05) des Hauptgebäudes () zu erheblichem Sachschaden führte und in den letzten Monaten vermehrt Diebstähle von Gegenständen in Büros durch die Mitarbeiter festgestellt wurden. BAUSTEIN ZIELOBJEKT MASSNAHME B 2.1 Gebäude (-15- A/B/C Maßnahmen) B 2.4 Serverraum Anzahl Prüfungsrelevante Maßnahmen:6 (40% der A/B/C Maßnahmen des Baustein-Zielobjektes) M 1.3 Angepasste Aufteilung der Stromkreise M Handfeuerlöscher M 1.8 Raumbelegung unter Berücksichtigung von Brandlasten M Schlüsselverwaltung M 2.17 Zutrittsregelung und -Kontrolle M 6.17 Alarmierungsplan und Brandschutzübungen S-RAUM-1 M 1.27 Klimatisierung [Sicherheitsmangel IS-Revision 2007] BOV - IS-Revision nach UP-Bund 12/08 IS-Prüfplan vom Seite 7 von 11

8 [D]-DOKUMENTATION DER PRÜFUNGSHANDLUNGEN Prüfmethoden: DOK Dokumentenprüfung IAN Inaugenscheinnahme INT Interview [D.1]-SCHICHT 1 ÜBERGEORDNETE ASPEKTE DATUM: /UHRZEIT: Uhr REVISOR:Herr Mustermann, Frau Musterfrau/ANSPRECHPARTNER:Frau Sicher BAUSTEIN MASSNAHME PRÜFMETHODE STICHPROBE UMSETZUNGS STATUS B 1.0 IT-Sicherheitsmanagement M Erstellung einer IT-Sicherheitsleitlinie M Festlegung der IT-Sicherheitsziele und -Strategie M Übernahme der Gesamtverantwortung für IT-Sicherheit durch die Leitungsebene M Aufbau einer geeigneten Organisationsstruktur für IT-Sicherheit M Erstellung eines IT- Sicherheitskonzeptes M Integration der Mitarbeiter in den Sicherheitsprozess DOK DOK DOK ANMERKUNG Ist vorhanden und i.o. In Leitlinie festgelegt und i.o. In Leitlinie dokumentiert und i.o. In Leitlinie festgelegt und i.o. Ist vorhanden und i.o. Schulungs- u. Sensibilisierungskonzept ist vorhanden u. wird gelebt M Integration der IT-Sicherheit in organisationsweite Abläufe und Prozesse Ist gewährleistet (Qualitäts- Zirkel / Führungskräfterunde) M Erstellung von zielgruppengerechten IT-Sicherheitsrichtlinien Sind vorhanden und i.o. BOV - IS-Revision nach UP-Bund 12/08 IS-Prüfplan vom Seite 8 von 11

9 BAUSTEIN MASSNAHME PRÜFMETHODE STICHPROBE UMSETZUNGS STATUS B 1.0 IT-Sicherheitsmanagement M Wirtschaftlicher Einsatz von Ressourcen für IT-Sicherheit M Aufrechterhaltung der IT-Sicherheit M Managementreporte und -Bewertungen der IT-Sicherheit M Dokumentation des IT- Sicherheitsprozesses M Beachtung rechtlicher Rahmenbedingungen M Ausnahmegenehmigungen DOK Nicht umgesetzt ANMERKUNG Wahrnehmung der Funktion des IT-SiBe in Zugleichfunktion aufgrund der geringen Komplexität der Infrastruktur und keiner Interessenkonflikte unproblematisch Es sollte geprüft werden, ob für die Informationssicherheit ein eigenes Budget bereitgestellt und durch IT- SiBe bewirtschaftet werden kann. Ist gewährleistet Managementreporte und -Bewertungen werden nicht erstellt Ist lückenlos dokumentiert und i.o. Werden beachtet, Mitarbeiter werden belehrt Verfahren ist existent und i.o. BOV - IS-Revision nach UP-Bund 12/08 IS-Prüfplan vom Seite 9 von 11

10 [D.2]-SCHICHT 2 INFRASTRUKTUR DATUM: /UHRZEIT: Uhr REVISOR:Frau Musterfrau, Herr Mustermann/ANSPRECHPARTNER:Herr Raumbucher BAUSTEIN MASSNAHME PRÜFMETHODE STICHPROBE B 2.1 Gebäude B 2.4 Serveraum M 1.3 Angepasste Aufteilung der Stromkreise M Handfeuerlöscher M 1.8 Raumbelegung unter Berücksichtigung von Brandlasten M Schlüsselverwaltung DOK / IAN DOK / IAN DOK / IAN DOK / IAN [E.08] [U.01] [E.05 / E.06] [Poststelle] UMSETZUNGS STATUS M 2.17 Zutrittsregelung und -Kontrolle DOK / IAN Teilweise umgesetzt M 6.17 Alarmierungsplan und Brandschutzübungen DOK / IAN Teilweise umgesetzt M 1.27 Klimatisierung IAN S-RAUM-1 ANMERKUNG Schriftlich in Sicherheitskonzept (SiKo) geregelt Stichprobe i.o. (Nutzlasten wurden angepasst) Schriftlich in SiKo geregelt Stichprobe i.o. Wareneingangs- und Kartonagelager in eigenem Brandabschnitt Stichprobe i.o. Schriftlich in Objektschutzkonzept geregelt Stichprobe i.o. Schriftlich in Objektschutzkonzept geregelt Kontrolle erfolgt faktisch nicht, da Pförtner dauerhaft erkrankt ist und keine Vertretung Regelungen existieren, werden gelebt, sind aber nicht dokumentiert Klimatisierung ist tatsächlicher Wärmelast im Raum plus Toleranzreserve angepasst. In Sommermonaten nun keine zusätzliche Klimatisierung über mobile Klimageräte mehr notwendig. BOV - IS-Revision nach UP-Bund 12/08 IS-Prüfplan vom Seite 10 von 11

11 [D.x]-SCHICHT x xxxxxxxxxxxxxxxx DATUM:xx.xx.xxxx /UHRZEIT:xxxx xxxx Uhr REVISOR:xxxxxxxxx/ANSPRECHPARTNER:xxxxxxxxx BAUSTEIN MASSNAHME PRÜFMETHODE STICHPROBE B x.x xxxxx UMSETZUNGS STATUS ANMERKUNG M x.xx xxxxxxxxx XXX XXXXX XXXXX XXXXXXX BOV - IS-Revision nach UP-Bund 12/08 IS-Prüfplan vom Seite 11 von 11