HILFESTELLUNG ZUR KATEGORISIERUNG DER MASSNAHMEN IM IT- SICHERHEITSHANDBUCH

Transkript

1 Zentrum für sichere Informationstechnologie Austria Secure Information Technology Center - Austria A-1040 Wien, Weyringergasse 35 A-8010 Graz, Inffeldgasse 16a Tel.: Tel.: Fax: Fax: HILFESTELLUNG ZUR KATEGORISIERUNG DER MASSNAHMEN IM IT- SICHERHEITSHANDBUCH Thomas Rössler, A-SIT Thomas.Roessler@iaik.at Inhalte Inhalte 1 Hilfe zur Handhabung des IT-Sicherheitshandbuches 2 Relevanz und Prioritäten 2 VERBINDLICH 2 EMPFOHLEN 3 SINNVOLL 3 ZUR INFO 4 Gross / Klein 4 1

2 Hilfe zur Handhabung des IT-Sicherheitshandbuches Relevanz und Prioritäten Je nach Organisationstyp lassen sich für die einzelnen Maßnahmen unterschiedliche Prioritäten zuordnen. Folgende Erläuterungen sollen das Verständnis für die hier getroffenen Zuordnungen erleichtern. VERBINDLICH Verbindlich ist eine Maßnahme, wenn sie aufgrund gesetzlicher Vorgaben umzusetzen ist (Privatwirtschaft und öffentliche Verwaltung). Zusätzlich wird eine Maßnahme für die öffentliche Verwaltung als verbindlich eingestuft, wenn sie auf einen IKT-Board Beschluss zurückzuführen ist. Von diesen Regeln abweichend werden vereinzelt Maßnahmen auch dann als verbindlich vorgegeben, wenn ihre Umsetzung als unabdingbar aufgrund des mit der Missachtung verbundenen Risikos anzusehen ist, etwa eine Kompromittierung zentraler IT-Dienste. In Verbindung mit dem deutschen Grundschutzhandbuch könnte man eine "verbindliche" Maßnahme mit einer "vorrangig umzusetzenden" Maßnahme gleichsetzen. Beispiele: Maßnahme INF 2.1 Einhaltung von Brandschutzvorschriften und Auflagen Diese Maßnahme ist für Organisationen der öffentlichen Verwaltung aufgrund der Vorgaben des Bundes-Bedienstetenschutzgesetz (B-BSG), BGBl-Nr. 70/1999 idgf, als verbindlich anzusehen. Für Unternehmen der Privatwirtschaft ist diese Maßnahme zwar nicht aufgrund des Bundes-Bedienstetenschutzgesetzes (hat nur Auswirkung auf Organisationen des Bundes), jedoch im Zusammenhang mit dem ArbeitnehmerInnenschutzgesetze (AschG), BGBL-Nr. 450/1994 idgf, umzusetzen und demnach als VERBINDLICH klassifiziert. Maßnahme ENT 2.3 Dokumentation der Systemkonfiguration Diese Maßnahme wird basierend auf einen zu Grunde liegenden IKT-Board Beschluss für Organisationen der öffentlichen Verwaltung als verbindlich eingestuft. Nichts desto trotz ist diese Maßnahme für andere Organisationstypen ebenfalls beachtenswert. Allerdings ist wegen der fehlenden Verbindlichkeit von IKT-Board Beschlüssen diese Maßnahme für die privatwirtschaftlichen Organisationen als EMPFOHLEN klassifiziert, ein Abweichen ist im Einzelfall somit möglich. 2

3 Maßnahme PER 1.9 Verpflichtung der PC-Benutzer zum Abmelden Für diese Maßnahme gibt es keine Untermauerung durch Gesetze oder IKT-Board Beschlüsse. Trotzdem ist sie aufgrund ihrer inhärenten Auswirkung auf die IT-Sicherheit sowohl für die Organisationen der öffentlichen Verwaltung als auch für die Privatwirtschaft als VERBINDLICH eingestuft. EMPFOHLEN Empfohlen werden jene Maßnahmen, die dem Stand der Technik entsprechen und best practices in der IT Sicherheit darstellen. Es ist davon auszugehen, dass für adäquaten Grundschutz für geringen und mittleren Schutzbedarf diese Maßnahmen umzusetzen sind. Nur in Einzelfällen kann begründet von der Umsetzung der empfohlenen Maßnahmen oder Kriterien abgegangen werden kann, wenn das dadurch entstehende Gefährdungspotential durch andere Maßnahmen bedeckt wird. Im Vergleich mit dem BSI Grundschutzhandbuch könnte man eine "empfohlene" Maßnahme mit einer "zügig" zu realisierenden Maßnahme gleichsetzen. Beispiele: Maßnahme BCP 1.6 Sicherungskopie der eingesetzten Software Diese Maßnahme ist generell empfehlenswert und daher zu beachten und als EMPFOHLEN eingestuft. Im Einzelfall kann die Verfügbarkeit der Software auch anders abgedeckt sein etwa bei homogener Softwareumgebung in der Organisation mit wenigen Programmen kann die Wiederbeschaffung über vertragliche Garantien wie Wartungsverträge gegeben sein. Dies stellt eine Situation dar, in der von der Maßnahme begründet abgegangen werden kann. Die ist aber nur begründet und im Einzelfall anzuraten. SINNVOLL Sinnvoll sind Maßnahmen die im für einen gesamtheitlichen Zugang zur IT-Sicherheit meist anzuraten sind, deren nicht-umsetzung je nach den Gegebenheiten der Organisation jedoch nicht notwendigerweise zu einem Gefährdungspotential führt. In der Umsetzung ist daher im Einzelfall zu entscheiden, ob die Maßnahme erforderlich ist. Diese Relevanzstufe repräsentiert die geringste Priorität, die einer Maßnahme zugewiesen werden kann. Im Vergleich mit dem BSI Grundschutzhandbuch könnte man eine "sinnvolle" Maßnahme mit einer "zeitlich nachrangig" umzusetzenden Maßnahme gleichsetzen. 3

4 Beispiele: Maßnahme INF 6.2 Regelungen für Zutritt zu Verteilern Diese Maßnahme beschreibt beachtenswerte Kriterien im Zusammenhang mit dem Umgang von Verteilern und Verteilerkästen. So ist es beispielsweise durchaus sinnvoll die Verteilerkästen nicht Unnotwendigerweise mit Einrichtungsgegenständen zu versperren. Allerdings geht durch eine Missachtung dessen keine wirkliche Gefahr für die IT-Sicherheit aus. Demnach ist diese Maßnahme als SINNVOLL eingestuft. Maßnahme INF 3.7 Schutz gegen elektromagnetische Einstrahlung Für eine Vielzahl von Organisationen ist diese Maßnahme zwar sinnvoll, doch rechtfertigt das damit verbundene Gefährdungspotential oft den Umsetzungsaufwand nicht. Deshalb ist diese Maßnahme als SINNVOLL klassifiziert worden und es ist u entscheiden, ob die Umsetzung in der Organisation vorrangig ist. ZUR INFO Angaben, die mit "ZUR INFO" tituliert werden dienen rein zur Information. Dabei handelt es sich meist nicht um Maßnahmen, sondern um exemplarische Aufzählungen oder ähnlichem. Gross / Klein Die Organisationsgröße im Sinne der Anwendung des IT-Sicherheitshandbuches kann nicht alleine an der Mitarbeiteranzahl festgemacht werden. Vielmehr ist die relevante Größe der Organisation als Kombination der folgenden Faktoren abzuleiten: * Mitarbeiteranzahl * Umfang und Größe der IT-Infrastruktur (Anzahl der IT-Arbeitsplätze, Server, Rechner, etc.) * Heterogenität der IT-Infrastruktur Eine große Anzahl von Mitarbeitern bedingt meist eine ähnlich große Zahl von IT- Arbeitsplätzen, wodurch auch meist die notwendige IT-Infrastruktur, wie Anzahl der Server und Umfang des Netzwerkes, entsprechend groß ist. Allerdings kann man nicht unbedingt von einer großen Organisation im Sinne der Kategorisierung des IT-Sicherheitshandbuches 4

5 ausgehen. Handelt es sich bei den vorkommenden IT-Arbeitsplätzen um durchwegs einheitliche Systeme, so ist aufgrund der geringen Heterogenität dennoch von einer kleinen Organisation zu sprechen. Umgekehrt kann aber aufgrund der Komplexität des in einer Organisation vorkommenden IT-Systems diese bereits bei einer wesentlich geringeren Anzahl von Mitarbeitern und Einzelrechnern als grosse Organisation bezeichnet werden. Einige Maßnahmen im IT-Sicherheitshandbuch sind darüber hinaus für große Organisationen im eigentlichen Sinne, d.h. Größe aufgrund ihrer Mitarbeiteranzahl, vorgesehen und somit als Relevant für große Organisationen eingestuft (z.b.: INF Portierdienst). Als Faustregel und Anhaltswert zur Einordnung von Organisationen kann von großen Organisationen im Sinne der Bewertung des IT-Sicherheitshandbuches ausgegangen werden, wenn folgende Eckdaten erfüllt werden: * Anzahl Mitarbeiter größer 50 * Anzahl Einzelrechner größer 50 * Anzahl Rechnertypen größer 15 (Heterogenität) * Anzahl Server größer 5 * eigene IT-Administration vorhanden Sind einige obiger Kriterien erfüllt, so kann man von einer großen Organisation sprechen. Andernfalls ist eher die Bezeichnung kleine Organisation im Zusammenhang mit dem IT- Sicherheitshandbuch passender. Jedoch stellt diese Bewertung nur einen Richtwert dar, welcher im Einzelfall unter Berücksichtigung aller Eigenschaften der Organisation gesehen und ggf. korrigiert werden muss. 5