Informationssicherheitskonzept nach BSI-IT-Grundschutzmethodik

Das Informationssicherheitskonzept beschreibt die technischen und organisatorischen Maßnahmen, welche zur Erreichung der in der Sicherheitsleitlinie einer Organisation festgelegten Sicherheitsziele umzusetzen sind. Im Konzept wird dargestellt, wie die Umsetzung überprüft und dokumentiert wird

Es besteht aus z.B. organisatorische Dinge beschreibenden Teilen und strukturierten Informationen in Form von Listen (z.B. Infrastrukturobjekte, Anforderungen, Gefährdungen, Maßnahmen). Die Objekte der Listen stehen in vielfältigen Beziehungen. Eine Dokumentation mittels Office-Dokumenten ist daher sehr aufwändig und fehleranfällig. Es empfiehlt sich die Verwendung einer speziellen Softwareanwendung1).

Das Konzept wird kontinuierlich an geänderte Rahmenbedingungen und Ziele angepasst und ist damit nie abgeschlossen. Prioritäten und damit die Reihenfolge der Abarbeitung der Maßnahmen ändern sich. Umso wichtiger ist es, allen Beteiligten kontinuierlich den aktuellen Stand des Konzeptes zur Verfügung zu stellen. Um die Agilität in Grenzen zu halten, sollten angefangene Maßnahmen natürlich zeitnah zu Ende geführt werden.

Erste Schritte

Die ersten 3 Schritte zur Erarbeitung des Informationssicherheitskonzeptes sind immer:

  • Festlegung des Informationsverbundes (IV) (Zielobjekte: gesamte Institution oder wichtigste Kernbereiche)
  • Erstaufnahme des IV (Zielobjekte: Geschäftsprozesse, Anwendungen, IT-Systeme, Gebäude, Räume, Netzplan)
  • Wahl der Vorgehensweise (Basis-, Kern-, Standardabsicherung)2)

Basisabsicherung

Die Basisabsicherung gewährleistet als Einstieg eine breite grundlegende Erstabsicherung. Der Weg dorthin3) ist kürzer als bei den anderen Vorgehensweisen:

  • Modellierung
    - Zuordnung der Bausteine des Kompendiums, und damit der Basis-Sicherheitsanforderungen zu den Zielobjekten
  • IT-Grundschutzcheck
    - Organisatorische Vorbereitung (Sichtung vorhandenes Material, Identifizierung geeigneter Ansprechpartner)
    - Soll-Ist-Vergleich der Erfüllung der Anforderungen mittels Interviews und Stichproben
    - Dokumentation des Vergleichs
  • Bewertung und Realisierung der in den Umsetzungshinweisen genannten Maßnahmen für nicht oder nur teilweise erfüllte Anforderungen

Das BSI stellt dafür ein, auf einer fiktiven kommunalen Referenzarchitektur basierendes Profil4) zur Verfügung. Dieses vereint im Grunde die Systematik der BSI-Standards mit der Einfachheit herkömmlicher Checklisten. Im Detail muss das Profil natürlich der konkreten Architektur der einsetzenden Organisation angepasst werden.

Eine Musterrichtlinie der SAKD zur Regelung des Passwortgebrauches für Benutzer5) dient der Erfüllung der relevanten Anforderungen des Bausteins ORP.4 "Identitäts- und Berechtigungsmanagement" (Anforderungen 8 und 22). Darin enthalten sind auch Empfehlungen zum Einsatz eines Passwortmanagers.

Standard- und Kernabsicherung

Bei der Standardabsicherung kommen weitere Schritte hinzu. Das Vorgehen bei der Kernabsicherung ist gleich der Standardabsicherung. Allerdings kann das angestrebte Sicherheitsniveau höher sein.

  • Strukturanalyse
    - Feststellung der Abhängigkeiten zwischen den Zielobjekten
    - Gruppierung der Zielobjekte
  • Feststellung des Schutzbedarfes für die einzelnen Schutzziele mittels Fragebogen 6)
  • Modellierung
    mit Vererbung des Schutzbedarfes gemäß Strukuranalyse
  • IT-Grundschutzcheck Teil 1
  • Risikoanalyse 7) und Behandlung im Fall
    - Zielobjekt hat hohen oder sehr hohen Schutzbedarf
    - Kein hinreichend passender Baustein für das Zielobjekt im Kompendium vorhanden
    - Untypische Einsatzumgebung des Zielobjektes
  • Konsolidierung der Maßnahmen
    - gleichwertiger Schutz durch andere zu realisierende Maßnahmen
    - Konkretisierierung und Anpassung an die individuellen Gegebenheiten
    - Bewertung der Angemessenheit und Eignung
  • IT-Grundschutzcheck Teil 2
    der neu hinzugekommenen oder geänderten Maßnahmen
  • Realisierung der Maßnahmen

Vorbereitend sind 2 Dokumente zu erarbeiten:

  • Definition der Schutzbedarfskategorien und Schadensszenarien8)
  • Erstellung einer Richtlinie zur Risikoanalyse9) mit Definition
    - der Auswirkungen (Schadenshöhe)
    - der Eintrittswahrscheinlichkeit
    - der Risikokategorien
    - der Risikoakzeptanz

Muster für diese und weitere Dokumente stellt auch das BSI für ein fiktives Unternehmen "RECPLAST GmbH" zur Verfügung.10)

Zur Durchführung und Dokumentation der Schutzbedarfsfeststellung empfiehlt sich das interaktive anpassbare PDF-Formular6), welches im IT-SiBe-Forum des Deutschen Landkreistages zum Download angeboten wird.
Das Forum steht allen Beschäftigten der öffentlichen Verwaltung offen, welche Aufgaben im Informationssicherheitsbereichs wahrnehmen.
Es vereint mittlerweile eine große Menge an Informationen, welche von den Beteiligten eingebracht wurden und ermöglicht einen unkomplizierten Erfahrungsaustausch unter Gleichgesinnten.

Links

1) BSI, Liste der alternativen Grundschutztools

2) BSI, Online-Kurs, Lerneinheit 2.9: Wahl der Vorgehensweise

3) BSI, Leitfaden zur Basis-Absicherung nach IT-Grundschutz

4) BSI, IT-Grundschutz-Profil Basis-Absicherung Kommunalverwaltung

5) SAKD, Muster Richtlinie zur Regelung des Passwortgebrauches für Benutzer (DOCX, PDF)

6) Deutscher Landkreistag, IT-SiBe-Forum, Fragebogen zur Schutzbedarfsfeststellung (Registrierung erforderlich)

7) BSI, Online-Kurs, Lerneinheit 7: Risikoanalyse

8) Freistaat Sachsen, Muster zur Definition der Schutzbedarfskategorien und Schadensszenarien

9) SAKD , Muster Richtlinie zur Risikoanalyse (DOCX, PDF)

10) BSI, Referenzdokumente der RECPLAST GmbH