Übung aus ISM3

IT-Grundschutz für KMUs und Hilfsmittel zum Grundschutz
Manuel Faux Marion Haller

20. Dezember 2009

FH Hagenberg

Inhaltsverzeichnis
1. Vorstellung des Dokuments 4

IFIF IFPF IFQF IFRF

ellgemeine †orgehensweise F F F F F F F he(nition des s„E†er˜unds F F F F F F F engep—sste qƒE†orgehensmodells™hritte feispiel ƒi™herheitsEveitlinie F F F F F F F

F F F F

F F F F

F F F F

F F F F

F F F F

F F F F

F F F F

F F F F

F F F F

F F F F

F F F F

F F F F

F F F F

F F F F

F F F F

F F F F

F F F F

F F F F

F F F F

F F F F

F F F F

F F F F

R S S S
5

2. Anpassung der Schritte aus dem GS-Vorgehensmodell

PFIF snitiierung des ƒi™herheitsprozesses F F F F F F F F F F F F F F F F F F F F F F F F F PFIFIF ܘern—hme von †er—ntwortung dur™h die veitungse˜ene F F F F F F F F F PFIFPF uonzeption und €l—nung des ƒi™herheitsprozesses F F F F F F F F F F F F F PFIFQF irstellung einer veitlinie zur snform—tionssi™herheit F F F F F F F F F F F F PFIFRF yrg—nis—tion des ƒi™herheitsprozesses F F F F F F F F F F F F F F F F F F F F PFPF irstellung einer ƒi™herheitskonzeption n—™h s„Eqrunds™hutz F F F F F F F F F F F PFPFIF he(nition des qeltungs˜erei™hs F F F F F F F F F F F F F F F F F F F F F F F PFPFPF ƒtruktur—n—lyse F F F F F F F F F F F F F F F F F F F F F F F F F F F F F F F F PFPFQF ƒ™hutz˜ed—rfsfeststellung F F F F F F F F F F F F F F F F F F F F F F F F F F PFPFRF eusw—hl und enp—ssung von w—ÿn—hmen F F F F F F F F F F F F F F F F F PFPFSF f—sisEƒi™herheits™he™k F F F F F F F F F F F F F F F F F F F F F F F F F F F F PFPFTF irgänzende ƒi™herheits—n—lyse F F F F F F F F F F F F F F F F F F F F F F F PFQF …msetzung der ƒi™herheitskonzeption F F F F F F F F F F F F F F F F F F F F F F F F PFRF eufre™hterh—ltung und kontinuierli™he †er˜esserung der snform—tionssi™herheit PFRFIF ܘerprüfung des snform—tionssi™herheitsprozesses in —llen i˜enen F F F F PFRFPF snform—tions)uss im snform—tionssi™herheitssystem F F F F F F F F F F F F PFSF erti(zierung n—™h sƒy PU HHI —uf der f—sis von s„Eqrunds™hutz F F F F F F F F
3. Beurteilung der Anwendbarkeit des Grundschutzprols 4. Hilfsmittel zur Erstellung einer Sicherheitsrichtlinie

U U U V W W W IH IH II II II II IP IP IQ IQ
14 14

RFIF veitf—den s„Eƒi™herheit F F F F F F F F F F F F F F F F F F F F F F F F F F F F F F F F RFPF ‡e˜kurs qrunds™hutz F F F F F F F F F F F F F F F F F F F F F F F F F F F F F F F F RFQF ielgruppende(nition F F F F F F F F F F F F F F F F F F F F F F F F F F F F F F F F F
A. Vergleich: Firmenprol für eine kleine Institution

IR IT IV
19

eFIF enp—ssung der ƒ™hritte —us dem qƒE†orgehensmodell F F F F F F F F F F F F F F eFIFIF snitiierung des ƒi™herheitsprozesses F F F F F F F F F F F F F F F F F F F F F eFIFPF irstellung einer ƒi™herheitskonzeption n—™h s„Eqrunds™hutz F F F F F F F eFIFQF …msetzung der ƒi™herheitskonzeption F F F F F F F F F F F F F F F F F F F F eFIFRF eufre™hterh—ltung und kontinuierli™he †er˜esserung der snform—tionssiE ™herheit F F F F F F F F F F F F F F F F F F F F F F F F F F F F F F F F F F F F eFIFSF erti(zierung n—™h sƒy PUHHI —uf der f—sis von s„Eqrunds™hutz F F F F eFPF feurteilung der enwend˜—rkeit des qrunds™hutzpro(ls F F F F F F F F F F F F F F

IW IW PI PP PQ PQ PQ

P

Abkürzungsverzeichnis BSI fundes—mt für ƒi™herheit in der snform—tionste™hnik ƒ—mple poli™y —nd s—mple ™on™eptsD fƒs BSISIPOL GS qrunds™hutz s„Eqrunds™hutzh—nd˜u™h GSHB IS snform—tionssi™herheit s„Eqrunds™hutz qesetz zur uontrolle und „r—nsp—renz im …nternehmens˜erei™h ITGS KonTraG MURI TK hokument wusterri™htlinien und feispielkonzepte des fƒs „elekommunik—tion Q .

1. Vorstellung des Dokuments h—s hokument s„Eqrunds™hutz für den wittelst—nd ist ein vom fƒs verö'entli™htes hokument d—s —nh—nd einer (ktiven snsitution mittlerer qröÿe die it—˜lierung eines funktionierenden s„E ƒi™herheitsprozesses n—™h s„qƒ erläutern sollF uerst wird die —llgemeine †orgehensweise zur irstellung eines s„Eƒi™herheitsprozesses vorgestelltF h— d—s hokument im xovem˜er PHHR erE stellt wurde und der s„Eqrunds™hutz im t—hr PHHS umstruktuiert wurde ‘ƒfHWD fƒs“D referenE ziert d—s hokument immer wieder d—s s„Eqrunds™hutzh—nd˜u™hD wel™hes jedo™h seit PHHS in s„Eqrunds™hutzEu—t—loge und fƒsEƒt—nd—rds —ufgeteilt istF 1. Durchführung einer Schutzbedarfsfeststellung Phase 4. welche bereits vor Beendigung der Phase 1 begonnen werden kann. 2 Eine Ausnahme stellt hier Phase 2. Initiierung des IT-Sicherheitsprozesses Phase 2. Durchführung einer IT-Strukturanalyse hie €h—se P dient der irf—ssung der uomE ponenten des s„E†er˜undesF els irge˜nis dieser €h—se erhält m—n eine hokument—tion der s„Eƒtuktur der snstitutionD wie zum feispiel eine eu)istung —ller s„EƒystemeD deren fenutzerD ƒt—ndorte und l—ufenden enwendungenF sn der €h—se Q wird für jede in €h—E se P de(nierte uomponenteD ein ƒ™hutz˜ed—rf festgelegtF hies ges™hieht in der ‚egel dur™h enge us—mmen—r˜eit mit den s„EfenutzernF steine des qƒrfs n—™hge˜ildetF sn dieser €h—se wird der s„E†er˜und dur™h f—uE Phase 3. 1 R . diese ist optionaler Bestandteil einer Sicherheitsrichtlinienerstellung.1. Allgemeine Vorgehensweise sm ersten „eil des hokuments s„Eqrunds™hutz für den wittelst—nd wird —llgemein die †orE gehensweise ˜ei der irstellung eines ƒi™herheitskonzepts n—™h qƒrf erläutertF is wird die xotwendigkeit der ixistenz eines ƒi™herheitskonzepts d—rgestellt sowie eine kurze iinführung in den qƒ gege˜enF hie irstellung einer ƒi™herheitsri™htlinie n—™h qƒrf verläuft im ellgemeinen in sie˜en €h—E sen1 D die zeitli™h n—™hein—nder —usgeführt werden2 F e˜˜ildung IX ܘersi™ht der …msetzungsph—sen sn der €h—se I wird der zu ˜etr—™htende s„E †er˜und de(niertD eine s„Eƒi™herheitsE‚i™htlinie erstelltD sowie d—s s„Eƒi™herheitsm—n—geE ment eingeri™htetF hiese eufg—˜en werden norm—lerweise vom s„Eƒi™herheits˜e—uftr—gten dur™hgeführtD wel™her im uge dieser €h—se von der snstitutionsleitung ˜estimmt wirdF Phase 1. Modellierung nach IT-Grundschutz Phase 7 umfasst die Zertizierung der grundschutzkonformen Erstellung des Sicherheitskonzepts.

Anpassung der Schritte aus dem GS-Vorgehensmodell sm folgenden e˜s™hnitt wird erläutertD wie die einzelnen €h—sen der irstellung einer ƒi™herE heitskonzeption n—™h dem qƒrf für die ˜eispielh—fte snstitution —ngep—sst oder interpretiert wurdenF her fƒsEƒt—nd—rd IHHEPD s„Eqrunds™hutzE†orgehensweiseD ˜es™hrei˜t wie ˜ei der …msetzung eines w—n—gementsystems n—™h dem s„Eqrunds™hutz vorzugehen istF hieses †orgehen ˜esteht ! um ein system—tis™hes †orgehen zu erlei™htern ! —us vier €h—senD wel™he —u™h im hokument S . Realisierung von IT-Sicherheitsmaÿnahmen Phase 7.Phase 5. Beispiel Sicherheits-Leitlinie is wird eine ƒi™herheitsEveitlinie —us w…‚s —uf ein mittelständis™hes …nternehmen umgesetztF rervorgeho˜ene „extp—ss—gen können individuell —ngep—sst werdenF 2. Durchführung des Basis-Sicherheitschecks her f—sisEƒi™herheits™he™k dient der irE mittlung der —ktuell umgesetzten w—ÿn—hmenD wel™he si™h —us der wodellierung der €h—E se R erge˜en h—˜enF hie €h—se T dient der eigentli™hen …mE setzung der erforderli™hen ƒi™herheitsm—ÿn—hmen n—™h qƒrfF ens™hlieÿendD —n die …msetzung der w—ÿn—hmen und die irstellung des ƒi™herheitskonzeptsD k—nn ein s„Eqrunds™hutzEerti(k—t dur™h einen lizenzierten s„E qrunds™hutzEeuditor —usgestellt werdenF Phase 6. Zertizierung 1.2.4. Angepasste GS-Vorgehensmodellschritte her qroÿteil des hokuments ˜ef—sst si™h mit der irstellung einer ƒi™herheitsri™htlinie n—™h qƒE rfF rierfür werden die sie˜en €h—sen erneut —ufgelistet und erläutertD jedo™h mit enp—ssungen in fezug —uf d—s qƒrfD um den ensprü™hen eines mittelständis™hen …nternehmens gere™ht zu werdenF 1. Denition des IT-Verbunds sm nä™hsten „eil des hokuments wird der s„E†er˜und der ˜eispielh—ften snstitution näher ˜es™hrie˜enF unä™hst wird eine fes™hrei˜ung des s„E†er˜undes —us ƒi™ht des snstitutionsleiters gege˜enD später erfolgt eine fes™hrei˜ung —us ƒi™ht des qƒrfsF e˜˜ildung P zeigt s™hem—tis™h den euf˜—u der s„Esnfr—struktur der snstitution —ufF usätzE li™h h—t jeder wit—r˜eiter ein eigenes „elefon —m er˜eitspl—tzF is wird versu™ht —lle ƒysteme mit zu ˜etrei˜enD sowie eine einheitli™he einzusetzenD um den —dE ministr—tiven eufw—nd zu minimierenF fis —uf einige wenigeD sind —lle hru™ker direkt mit den €gs ver˜undenY es gi˜t jedo™h zwei xetzwerkdru™kerF elle €gs und ƒerver hängen —n einem ƒwit™h und sind somit mitein—nder vernetztY —lle „elefone sowie d—s hƒvEwodem sind mit der „uEenl—ge gekoppeltF hie einzige †er˜indung n—™h —uÿen ist die en˜indung der „uEenl—ge mit der „elefonE und snternetgesells™h—ftF hie ‚äumli™hkeiten der snstitutionD wel™he sowohl —ls füroräume wie —u™h zur …nter˜ringung der s„Esnfr—stuktur dienenD ˜e(nden si™h im dritten ƒto™kwerk eines füroge˜äudesD wel™hes —u™h von —nderen …nternehmen ˜enutzt wirdF Windows 2000 Oce-Lösung 1.3.

e˜˜ildung PX xetzpl—n des ˜eispielh—ften s„E†er˜unds T .

U . Konzeption und Planung des Sicherheitsprozesses iin wi™htiger „eil der snitiierung des ƒi™herheitsprozesses ist —u™h die €l—nung des €rozesses sel˜stF rier˜ei muss eine —ngemessene vom w—n—gement festgelegt werdenF hiese ƒtr—tegie ˜—siert —uf den qes™häftszielen ˜eziehungsweise dem euftr—g der snstitutionF hesweiE teren muss für jeden qes™häftsprozess und jeder p—™h—ufg—˜e von einem f—™hli™hen enspre™hE p—rtner ein ƒi™herheitsnive—u zum ƒ™hutz der snform—tionen festgelegt und von der qes™häftsE leitung zugestimmt werdenF rierzu ˜ietet der fƒsEƒt—nd—rd einen ert uontrollfr—genk—t—log zur ܘerprüfung dieser ‚—hmen˜edingungenF u feginn jedes ƒi™herheitsprozesses sollte m—n die snform—tionssi™herheitsziele ˜estimmenD —us denen zunä™hst nur —llgemeine ƒi™herheitsziele —˜geleitet werdenF ƒpäterD ˜ei der irstelE lung des eigentli™hen ƒi™herheitskonzeptsD werden d—r—us konkrete ƒi™herheits—nforderungen ge˜ildetF rier ˜ietet der fƒsEƒt—nd—rd eine eu)istung mögli™her ƒi™herheitszieleF IS-Strategie sm hokument s„Eqrunds™hutz für den wittelst—nd wird weder die irstellung der sƒEƒtr—E tegie erwähntD no™h d—s pestlegen des ƒi™herheitsnive—us oder die eus—r˜eitung der snform—tiE onssi™herheitszieleF 3 Da.2. Übernahme von Verantwortung durch die Leitungsebene hie o˜erste veitungse˜ene jeder snstitution ist d—für ver—ntwortli™hD d—ss —lle qes™häfts˜eE rei™he ordnungsgemäÿ funktionieren und ‚isiken frühzeitig erk—nnt werdenF h—her muss die veitungse˜ene den ƒi™herheitsprozess initiierenD steuern und kontrollierenF hie †er—ntwortung sel˜st ˜lei˜t ˜eim w—n—gementD die eufg—˜e der wird jedo™h —n den s„Eƒi™herheits˜e—uftr—gten delegiertF uerst wird erklärt wieso es so wi™htig istD d—ss die o˜erste veitungse˜ene trotz helegieE rung der eufg—˜e der snform—tionssi™herheit —n den s„Eƒi™herheits˜e—uftr—gtenD denno™h —usE s™hl—gge˜end —m ˜eteiligt istF her fƒsEƒt—nd—rd ˜iete eine sehr gen—ue eu)istung von snform—tionen die dem w—n—gement ni™ht vorenth—lten werden dürfenD sowie gewisse €rinzipien die ˜ei der …msetzung des w—n—gementsystems vom w—n—gement ˜e—™htet werden sollenF Informationssicherheit Managementprozess Informationssicherheit hiesem „eil der …msetzung wird im hokument s„Eqrunds™hutz für den wittelst—ndnur sehr wenig snh—lt zugespro™henY es wird ledigli™h erwähntD d—ss die qes™häftsführung einen s„E ƒi™herheits˜e—uftr—gten ˜estimmtD der die weitere …msetzung des w—n—gementsystems re—liE siertF 2.0 als Referenz herangezogen.1. der BSI-Grundschutz seit Verfassen des Dokuments konzeptionell überarbeitet wurde. Es werden im folgenden die Phasen des BSI-Standards 100-2 Version 2. Initiierung des Sicherheitsprozesses 2. entsprechen die im Dokument referenzierten Phasen nicht mehr genau den Phasen aus dem BSI-Standard.1. wie bereits erläutert.1.s„Eqrunds™hutz für den wittelst—nd —ufgegri'en werdenF3 h— diese €h—sen —us dem fƒsE ƒt—nd—rd sehr —llgemein geh—lten sindD um sowohl kleine …nternehmen wie —u™h mittlere und groÿe snstitutionen zu ˜erü™ksi™htigenD werden diese lei™ht —ngep—sst um den ensprü™hen der (ktiven snstitution zu genügenF 2.1.

Erstellung einer Leitlinie zur Informationssicherheit heitsstrategie iin zentr—ler €unkt der ƒi™herheitsprozessinitiierung ist die irstellung einer s™hri)i™h (xierten veitlinie zur snform—tionssi™herheitF hiese ˜es™hrei˜t —llgemeinverständli™h für wel™he we™keD mit wel™hen witteln und mit wel™hen ƒtrukturen die snform—tionssi™herheit innerh—l˜ der snstiE tution hergestellt werden sollF sn ihr sollen die —ngestre˜ten sƒEiele gen—u ˜es™hrie˜en werdenF wit der sƒEveitlinie wird —u™h festgelegtD mit wel™hen str—tegis™hen witteln die qes™häftsleiE tung zur irrei™hung der sƒEiele ˜eiträgtF hie snstitutionsleitung sollte ihr formell zugestimmt h—˜enF ‡esentli™her fest—ndteil der sƒEveitlinie ist der qeltungs˜erei™hF hie veitlinie k—nn snstiE tutionsweit gültig sein oder —u™h nur —uf „eile der snstitution zutre'enF iine sƒEveitlinie soll ni™ht mehr —ls PH ƒeiten —ufweisenD jedo™h mindestens —us D D und der für die …msetzung et—˜lierten ˜estehenF ƒollte die veitlinie vertr—uli™he snform—tionen ˜einh—ltenD sollten diese —n d—s inde des hokuments verl—gert werden und explizit —ls vertr—uli™h gekennzei™hnet werdenF her fƒsEƒt—nd—rd sieht es vorD d—ss ein sƒEw—n—gementE„e—m ! sofern ˜ereits im …nternehE men vorh—nden ! die snform—tionen der sƒEveitlinie —us—r˜eitetF ƒollte es so ein „e—m no™h ni™ht ge˜enD wird empfohlen eine intwi™klungsgruppe zur ir—r˜eitung der ƒi™herheitsleitlinie zu gründenD die d—nn im v—ufe der weiteren €h—sen der iinri™htung des ƒi™herheitsprozesses zum s„Ew—n—gementE„e—m ü˜ergehtF hie sƒEveitlinie sollte für jeden wit—r˜eiter lei™ht zugängig zur †erfügung gestellt werdenF sn regelmäÿigen e˜ständen soll die veitlinie ü˜er—r˜eitet werden und —uf ektu—lität ü˜erE prüft werdenF is soll ˜esonders —uf Änderungen in den qes™häftszielenD den qes™häftsprozessen sel˜st oder der yrg—nis—tionsstruktur ge—™htet werdenF eu™h die iinführung von neuen s„E qeräten muss in die ܘer—r˜eitung mitein)ieÿenF h—s fƒs emp(ehlt eine zweiEjährli™he ܘerE —r˜eitungF Geltungsbereich IS-Zielen SicherOrganisationsstruktur pür eine mittlere snstitution sieht d—s fƒs im qroÿen und q—nzen die glei™hen snh—lte der veitlinie vorF h—s hokument s„Eqrunds™hutz für den wittelst—nd4˜es™hrei˜t diese snh—lte jedo™h ni™ht sehr gen—uD sondern eher ü˜er˜li™ksmäÿigF iin rinweis wie vertr—uli™he „eile zu h—ndh—˜en sindD fehlt zum feispiel gänzli™hF eu™h wird im hokument ni™ht —uf die †erteilung der veitlinie eingeg—ngenF pür die irstellung der veitlinieD ist kein eigenes „e—m oder eigene qruppe zuständigD sondern der s„Eƒi™herheits˜e—uftr—gteF is wird st—ttdessen empfohlenD d—ss dieser in ‡orkshops mit †ertretern der snstitutionsleitern die wesentli™hen i™kpunkte dieser veitlinie —us—r˜eitetF h—s fƒs hokument ˜einh—ltet keinen rinweis zur regelmäÿigen ܘer—r˜eitung der sƒEveitlinieF V .1.3.her fƒsEƒt—nd—rd emp(elt zum ˜esseren †erständnis der sƒEieleD d—ss d—s —ngestre˜te ƒiE ™herheitsnive—u für einzelne qes™häftsprozesse in fezug zu den qrundwerte der snform—tionsE si™herheit ge˜r—™ht wirdD um so ein —ngemessenes ƒi™herheitsnive—u ˜esonders hervorgeho˜ener qes™häftsprozesse ˜estimmen zu könnenF rier˜ei muss die veitungse˜ene un˜edingt —uss™hl—gE ge˜end —n der pormulierung dieser sƒEiele ˜eteiligt seinF eu™h zu diesen €unkten sind im s„Eqrunds™hutz für den wittelst—nd keine w—ÿn—hmen vorgesehenF 2.

Organisation des Sicherheitsprozesses zulegen und diesen einzelne eufg—˜en zuzuordnenF hie gen—ue yrg—nis—tionsstruktur hängt von der qröÿe und gen—uen fes™h—'enheit der snstitutionsstruktur —˜F euf jeden p—ll soll ein s„Eƒi™herheits˜e—uftr—gter —ls zentr—ler enspre™hp—rtner ˜en—nnt werdenF sn gröÿeren snstiE tutionen wird es ü˜li™herweise weitere €ersonen ge˜enD denen „eil—ufg—˜en zugeteilt werdenY d—s sƒEw—n—gementE„e—m koordiniert deren „ätigkeitenF hiese ‚ollen sollen —ls ƒt—˜sstellen org—nisiert seinD um den direkten ug—ng zur snstitutionsleitung si™herzustellenF hie qes—mtver—ntwortung ˜lei˜t weiterhin ˜ei der snstitutionsleitungD jedo™h ist mindestens eine €erson zu ernennenD die den sƒE€rozess fördert und koordiniertY dies ist zumeist der s„E ƒi™herheits˜e—uftr—gteF henno™h ist jeder wit—r˜eiter glei™herm—ÿen für seine eigentli™he eufE g—˜e wie —u™h für die eufre™hterh—ltung der snform—tionssi™herheit —n seinem er˜eispl—tz und seiner näheren …mge˜ung ver—ntwortli™hF hesweiteren ˜es™hrei˜t der ƒt—nd—rd einige sntegr—tionsstr—tegien der sƒEyrg—nis—tion in die ˜estehende snstitutionsstrukturF eu™h die gen—uen eufg—˜enD †er—ntwortungen und uompeE tenzen in der sƒEyrg—nis—tion sowie des s„Eƒi™herheits˜e—uftr—gtenD des sƒEw—n—gementE„e—ms sowie —nderen ‚ollen in der sƒEyrg—nis—tion werden gen—uer de(niertF sm qƒE€ro(l für eine mittlere snstitution sind weder snh—lte von der yrg—nis—tion des ƒi™herheitsprozessesD no™h deren ‚ollen zu (ndenF hie einzige ‚olle der sƒEyrg—nis—tion ist der s„Eƒi™herheits˜e—uftr—gteF 2.perner ˜es™hrei˜t der fƒsEƒt—nd—rd die yrg—nis—tion des ƒi™herheitsprozessesF …m den ISProzess institutionsweit umzusetzenD ist es un—˜ding˜—r ‚ollen innerh—l˜ der snstitution festE 2.1.2.2.1. Erstellung einer Sicherheitskonzeption nach IT-Grundschutz iin iel des s„Eqrunds™hutzes ist esD eine †orgehensweise zur irzielung eines norm—len ƒi™herE heitsnive—us —nzu˜ietenF hies k—nn —u™h —ls f—sis für ein höheres ƒi™herheitsnive—u dienenF eufE grund dessen werden ƒt—nd—rdEƒi™herheitsm—ÿn—hmen empfohlenY diese sind in f—usteine unterE teiltD sod—ss sie —ufein—nder —ufsetzen können @siehe e˜˜ildung£ef(gXsi™herheitskonzeptionFpnhAF r …nter —nderem wird die wethodik des s„Eqrunds™hutzes ˜es™hrie˜en und die qliederung in die he(nition des qeltungs˜erei™hesD die ƒtruktur—n—lyseD die ƒ™hutz˜ed—rfsfeststellungD die eusw—hl und die enp—ssung von w—ÿn—hmenD der f—sisEƒi™herheits™he™k sowie weiterführende w—ÿn—hmenF 2.4. Denition des Geltungsbereichs yft irfolgverspre™hender sind viele kleine ƒ™hritte und ein l—ngfristiger und kontinuierli™her †er˜esserungsprozessF is muss zunä™hst der ferei™h festgelegt werdenD für den die uonzeption erstellt wirdF sm s„Eqrunds™hutz wird der qeltungs˜erei™h —ls s„E†er˜und ˜ezei™hnetF is wird im qƒE€ro(l nur kurz d—s s„Eƒi™herheitskonzept —ngeführtF hie ˜eiden ƒi™herheitsE konzeptionen unters™heiden si™h ni™ht grundlegendF hie €unkte sind —nders strukturiertD so werden zum feispiel im €ro(l für mittlere snstitutionen die f—sisEƒi™herheits™he™ks ni™ht —ufE geteiltF W .

Strukturanalyse h—s us—mmenspiel der typis™hen qes™häftsprozesseD deren enwendung und die en—lyse ˜eziehE gungsweise hokument—tion der snform—tionste™hnik tr—gen zu der ƒtruktur—n—lyse ˜eiF reute ist eine st—rke †ernetzung von s„Eƒystemen ü˜li™hD d—her ˜ietet si™h ein xetztopologiepl—n —ls eusg—ngs˜—sis für die weitere te™hnis™he en—lyse —nF hie ƒtruktur—n—lyse ist im qƒE€ro(l für mittelständige …nternehmen kurz geh—ltenF her erste ƒ™hritt ˜eginnt mit der euswertung des xetzpl—nsD der zweite ƒ™hritt wäre die irhe˜ung der s„Eƒysteme und der dritte ƒ™hritt die —ns™hlieÿende irf—ssung der s„Eenwendungen und der zugehörigen snform—tionenF 2.2.e˜˜ildung QX irstellung der ƒi™herheitskonzeption im snform—tionssi™herheitsm—n—gement 2.2.2.3. Schutzbedarfsfeststellung is wird ermitteltD wel™her ƒ™hutz für die qes™häftsprozesseD die ver—r˜eiteten snform—tionen und die eingesetzte snform—tionste™hnik —usrei™hend und —ngemessen istF polges™häden müsE sen re—listis™h einges™hätzt werdenY es h—t si™h die iinteilung in drei ƒ™hutz˜ed—rfsk—tegorien ˜ewährtF hieser €unkt ist ˜ei den mittleren …nternehmen gut —ufgegliedertF is wird —nh—nd des feispiels ver—ns™h—uli™htD wie die qes™häftsprozesse mittels dem qƒE„ool ver—r˜eitet werdenF IH .

Basis-Sicherheitscheck her f—sisEƒi™herheits™he™k ˜esteht im ƒt—nd—rd —us der org—nis—toris™hen †or—r˜eit und den d—zugehörigen ektionspunktenF hie hur™hführung des ƒollEsstE†erglei™hs dientD wieder inkluE sive der ektionspunkteD zur irmittlung des …msetzungsst—tusF is d—rf keinenf—lls —uf die hoE kument—tion vergessen werdenF sm €ro(l des …nternehmens de™kt si™h dieser €unktD ˜is —uf die ektionspunkteD mit dem ƒt—nd—rdF her …msetzungsst—tus wird ni™ht extr— erwähntF 2. Ergänzende Sicherheitsanalyse pür die typis™hen qes™häftsprozesseD enwendungen und s„Eƒysteme sind die ƒt—nd—rdEƒi™herE heitsm—ÿn—hmen in der ‚egel —usrei™hendF is wird der zweistu(ge ens—tz der s„Eqrunds™hutzE †orgehensweise und die †orgehensweise zur ergänzenden ƒi™herheits—n—lyse gen—uer ˜eE s™hrie˜en und mit einem feispiel versehenF is folgt die ‚isiko—n—lyse —uf der f—sis des s„E qrunds™hutzesF sm hokument qƒE€ro(l für mittelständis™he …nternehmen gi˜t es einen ixkurs zu dem „hem— irgänzende ƒi™herheits—n—lyseF is gi˜t eine kurze fes™hrei˜ungD —˜er es werden keine †orgehensweisen —ufgelistetF 2.2.6. Umsetzung der Sicherheitskonzeption hie im fƒsEƒt—nd—rd —ngeführte …msetzung erfolgt zuerst mit einer ƒi™htung der …ntersuE ™hungserge˜nisseF is werden —lle fehlenden ˜eziehungsweise nur teilweise umgesetzten w—ÿE n—hmen t—˜ell—ris™h erf—sstF ens™hlieÿend wird die uonsolidierung der w—ÿn—hmenD wor—us ein II .2.2.5.3.4.2. Auswahl und Anpassung von Maÿnahmen x—™hdem die ƒtruktur—n—lyse und die ƒ™hutz˜ed—rfsfeststellung vorliegenD wird der s„E†er˜und mit rilfe der vorh—nden f—usteine —˜ge˜ildetF h—s irge˜nis ist ein s„Eqrunds™hutzEwodell des snform—tionsver˜unds —us mehreren f—usteinenF …nter diesem u—pitel werden no™h gen—uer die f—usteineD die qefährdungsk—t—loge sowie die w—ÿn—hmenk—t—loge erläutertF is folgt die —ns™hlieÿende wodellierung eines snform—tionsver˜undsY ƒi™herheits—spekte werden d—˜ei n—™h „hemen gruppiert ˜etr—™htetF ens™hlieÿend wird mittels ektionspunkten die eusw—hl und enp—ssung der w—ÿn—hmen ˜eh—ndeltF sm qegens—tz zum fƒsEƒt—nd—rd nennt si™h d—s u—pitel jetzt wodellierungF hie qener—E lisierung ist vers™hwundenF is werden modellh—ft die ƒ™hi™hten gemäÿ des qƒrf d—rgestellt und kurz ˜es™hrie˜enF te n—™h †erwendung der ˜etr—™hteten f—usteine können die y˜jekte von unters™hiedli™her ert seinX einzelne uomponentenD qruppen von uomponentenD qe˜äudeD viegs™h—ften oder yrg—nis—tionseinheitenF uerst werden in dem €ro(l der mittleren …nternehE men die ü˜ergeordneten espekte ˜eziehungsweise f—usteine verwendetD d—nn f—usteine der snfr—strukturD der s„EƒystemeD s„Exetze und s„EendwendungenF 2.

1. Aufrechterhaltung und kontinuierliche Verbesserung der Informationssicherheit 2.4.4.eventuelles intf—llen der …msetzung einhergehtD mit feispielen —ngeführtF ‡i™htig ist die entE spre™hende hokument—tionF is folgt eine uostenE und eufw—nds™hätzungD wo˜ei d—s ‚isiko für die xi™htE‚e—lisierung einer w—ÿn—hme deutli™h wirdD zum feispiel dur™h ni™ht —usrei™hendes fudgetF sdent zu dem fƒsEƒt—nd—rd werden ˜ei den mittelständis™hen qƒE€ro(l die …ntersu™hungsE erge˜nisse e˜enf—lls gesi™htetF is werden —lle teilweisen oder ni™ht umgesetzten irge˜nisse —us dem f—sisEƒi™herheits™he™k ü˜ernommen und in einer „—˜elle —ufgelistetF fei der uostenE und eufw—nds™hätzung wird ˜ei den mittelständis™hen …nternehmen zwiE s™hen einm—ligen und wiederkehrenden snvestitionskosten ˜eziehungsweise €erson—l—ufwänden unters™hiedenF is ist von †orteil die jeweiligen uostenE und eufw—nds™hätzungen gemeins—m mit einem s„E†er—ntwortli™hen dur™hzuführenF is folgt die pestlegung der …msetzungsreihenfolge der w—ÿn—hmenF eufgrund von zu weE nig fudget oder personeller ‚essour™enkn—ppheit muss eine ‚eihenfolge für die …msetzung die w—ÿn—hmen festgelegt werdenF ens™hlieÿend werden die eufg—˜en und die †er—ntwortunE gen —usge—r˜eitetF is wird ˜estimmtD wer w—nn wel™he w—ÿn—hme zu re—lisieren h—t und wer für die ܘerw—™hung der ‚e—lisierung zuständig istF ‚e—lisierungs˜egleitende w—ÿn—hmenD im ƒpeziellen ƒensi˜ilisierungsm—ÿn—hmen werden eingepl—nt um ˜etro'ene wit—r˜eiter ü˜er die xotwendigkeit und die uonsequenzen der w—ÿn—hmen zu unterri™htenF qlei™hwertiger e˜l—uf (ndet si™h —u™h ˜ei der …msetzungsreihenfolgeD sowie ˜ei der pestleE gung der †er—ntwortli™hkeiten im hokument des wittelst—ndsF is ist d—r—uf zu —™htenD d—ss der †er—ntwortli™he ü˜er —usrei™hend uompetenzen für die …msetzung der w—ÿn—hmen ˜esitztF ‚e—lisierungs˜egleitende w—ÿn—hmen werden im qrunds™hutzpro(l eines mittelständis™hen …nE ternehmens ähnli™h wie im ƒt—nd—rd umgesetztF 2. Überprüfung des Informationssicherheitsprozesses in allen Ebenen wethoden für eine ܘerprüfung des snform—tionssi™herheitsprozesses werden erläutertF is folgt —u™h die ܘerprüfung der ƒi™herheitsm—ÿn—hmenD sowie die €rüfung o˜ die ƒi™herheitsziele mit dem iins—tz der ƒi™herheitsstr—tegie —u™h wirkli™h errrei™ht werden könnenF elle diese irge˜nisse werden in den snform—tionssi™herheitsprozess ü˜ernommenF her eufre™hterh—ltung und der kontinuierli™hen †er˜esserung der snform—tionssi™herheit ist im qrunds™hutzpro(l nur ein kurzer e˜s—tz gewidmetF …nter —nderem wird —ngemerktD d—ss es wesentli™h istD d—ss der s„Efe—uftr—gte si™h um die eufre™hterh—ltung des €rozesses kümmern und die …msetzung der w—ÿn—hmen sowie die iinE h—ltung der ‚i™htlinien ü˜erw—™hen mussF ‡eiters ist ein ƒi™herheitsprozess d—rgestellt @siehe e˜˜ildung RAF IP .

Zertizierung nach ISO 27 001 auf der Basis von IT-Grundschutz her fƒsEƒt—nd—rd IHHEP ˜einh—ltet die vers™hiedenen snteressen —n einer sƒy PU HHIEerti(zieE rungF hie qrundl—ge für die †erg—˜e eines sƒy PU HHIEerti(k—ts —uf der f—sis des s„EqrundE s™hutzD ist die hur™hführung eines eudits mittels einem externen euditorsF engemerkt sind die †orteile von erti(k—tsträgern gegenü˜er wit˜ewer˜ern ohne dur™hgeführter erti(zierungF is werden n—™hfolgend die ektionspunkte für eine erti(zierung —ufgezeigtF sn dem €ro(l des qrunds™hutzes für mittlere …nternehmen werden keinerlei euss—genD grundE legend ü˜er die erti(zierungD getätigtD nur d—ss ein dur™h d—s fƒs lizenzierter s„Eqrunds™hutzE euditor die €l—usi˜ilität und die ‚e—lisierung der w—ÿn—hmen prüftF IQ .5.e˜˜ildung RX h—rstellung des ƒi™herheitsprozesses 2.4. Informationsuss im Informationssicherheitssystem sm ƒt—nd—rd ist festgeh—ltenD wie der snform—tions)uss im snform—tionssi™herheitsprozess —usE zusehen h—tF …nter —nderem werden feri™hte —n die veitungse˜eneD hokument—tionenD sowie die weldewege ˜eh—ndeltF sm hokument für die mittelständis™hen …nternehmen wird der snform—tions)uss —n si™h ni™ht ˜eh—ndeltF her s„Eƒi™herheits˜e—uftr—gte ist in jedem p—ll zu informierenD denn er leitet den g—nzen €rozessF 2.2.

Leitfaden IT-Sicherheit en—log zu der intwi™klung in der snform—tionste™hnik steigen —u™h die enforderungen —n die snform—tionssi™herheitF sm qegens—tz zu der steigenden uomplexität der s„Eƒi™herheitsprodukE te sind jedo™h fehlende ‚essour™en und zu kn—ppe fudgets —lltägli™hF her s„Eƒi™herheits veitf—den des fƒs ˜ietet d—her eine komp—kte ƒ—mmlung der wi™htigsten w—ÿn—hmen für p—™hver—ntwortli™he und edministr—toren in kleinen und mittelständis™hen …nternehmen sowie in fehördenF wittels ghe™klisten wird die en—lyse der eigenen ƒitu—tiE on vereinf—™htF €r—xis˜ezogene feispiele im ferei™h snform—tionssi™herheit unterstützen die IR . Beurteilung der Anwendbarkeit des Grundschutzprols hieser „eil˜erei™h ˜esteht —us der eufg—˜e d—s hokument mit dem „itel iin s„Eqrunds™hutzE pro(l für den wittelst—nd —uf die zwei €unkte und zu —n—lysieren und den dritten €unkt zu er—rE ˜eitenF Verständlichkeit Praxisbezug Verbesserungs.1.beziehungsweise Weiterentwicklungsvorschläge is wäre hilfrei™h etw—s deE t—ilierter —uf d—s enwendungs˜eispiel für den wittelst—nd einzugehenF enf—ngs wird d—s mittelE ständis™he …nternehmen gut erläutertD —ns™hlieÿend jedo™h nur sehr kurz ˜eh—ndeltF w—n (ndet —u™h keinerlei ghe™klistenD wie im veitf—den oder im qrunds™hutzpro(l für uleinunternehmenF 4.beziehungsweise Weiterentwicklungsvorschläge Verständlichkeit qrundsätzli™h ist die †erständli™hkeit des hokumentes gege˜enF henno™h ist es von †orteilD si™h mit den hokumenten veitf—den s„Eƒi™herheit und 4fƒsEƒt—nd—rd IHHEP ˜es™häftigt zu h—˜enF her veitf—den dient hier sozus—gen —ls f—sis für die †erständli™hkeit des hokumentes und der ƒt—nd—rd IHHEP —ls irweiterungD d— dieser für jedes …nternehmen —nwend˜—r sein muss und det—iliertere snform—tionen enthältF Praxisbezug sm hokument s„Eqrunds™hutz für den wittelst—nd (ndet si™h ein dur™hgänE giges enwendungs˜eispielD d—her ist der €r—xis˜ezug gege˜enF hur™h d—s enwendungs˜eispiel k—nn m—n den s„Eqrunds™hutz ohne gröÿere €ro˜leme in die €r—xis umsetzenD trotzdem ist der s„Eqrunds™hutz für den wittelstr—nd re™ht —llgemeinD hinsi™htli™h des ƒt—nd—rdsD forumliertF Verbesserungs.henno™h wird det—iliert ˜es™hrie˜enD wel™he ƒtufen errei™ht werden könnenD wie l—nge deren qültigkeit ist und o˜ diese ƒtufen verlänger˜—r sindF hie zu errei™hende u—li(zierungsstufe ist d—von —˜hängigD wie die …msetzung der ƒt—nd—rdE si™herheitsm—ÿn—hmen ges™h—hF h—zu gi˜t es im qƒrf die €rioritäten eDfDg und Y diese sind ein rinweis —uf die …msetzungsreihenfolge der ƒt—nd—rdsi™herheitsm—ÿn—hmenF 3. Hilfsmittel zur Erstellung einer Sicherheitsrichtlinie h—s fƒs stellt gewisse rilfsmittel zur irstellung einer individuellen ƒi™herheitsri™htlinie n—™h dem qƒrf zur †erfügungF wei dieser „ools werden nun kurz vorgestelltF 4.

wi™htigsten org—nis—toris™henD infr—strukturellen und te™hnis™hen w—ÿn—hmenD sowie die †erE —ns™h—uli™hung von qef—hrenF euf te™hnis™he het—ils wird ˜ewusst verzi™htetF hur™h die enwendung des veitf—dens k—nn ein vertr—uenswürdiges snform—tionssi™herheitsE nive—u gelegt werdenF h—s zweite u—pitel ˜es™häftigt si™h —uss™hlieÿli™h mit dem fegri' snform—tionssi™herheitD dessen irläuterungD der ‡i™htigkeit und den —uftretenden xeE ˜ene'ektenF Informationssicherheit im Fokus euf˜—uend —uf den drei qrundwerE te der snform—tionssi™herheitX †ertr—uli™hkeitD †erfüg˜—rkeit und sntegrität werden weitere wi™htige fegri'e erläutertF Wichtige Begrie rund um die Informationssicherheit is wirdD im vierten u—pitelD ein ܘer˜li™k ü˜er gesetzli™he ‚egelungen mit fezug zur snform—tionssi™herheit gege˜enF is wird unter —nderem —ngemerktD d—ss es mehrere neue ‚e™htsvors™hriften gi˜tD die der Ö'entli™hkeit no™h ni™ht hinrei™hend ˜ek—nnt sindD wie zum feispiel —uf d—s ertikelgesetz uon„r—qF rinsi™htli™h h—E tens™hutz gi˜t es für ˜estimmte ferufsgruppen ƒonderregelungenF Vorschriften und Gesetzesanforderungen u—pitel fünf enthält fünf ƒzen—rien die —ls w—rnende feispiele fungieren sollenF is sind unter jedem ƒzen—rio w—ÿn—hmen —ufgelistetD die ˜ei enwendungD diese ƒ™h—densfälle verhindern sollenF So nicht: Schadensfälle als warnendes Beispiel räu(ge †ersäumnisse und deren …rs—™hen (ndet m—n im se™hsE ten u—pitelF hiese †ersäumnisse sind für jedes …nternehmen n—türli™h sep—r—t zu ˜etr—™hen und somit sind die ƒ—™hverh—lte —u™h unters™hiedli™h zu ˜ewertenF ܘer eine unzurei™hende snform—tionssi™herheitsstr—tegie ˜is hin zum m—ngelh—ften ƒ™hutz vor iin˜re™hern und ileE ment—rs™häden werden sie˜en €unkte ˜eh—ndeltD deren …rs—™hen erläutert und im folgenden u—pitel —ngemessene w—ÿn—hmen gesetztF Die häugsten Versäumnisse …m den im u—pitel se™hs —usge—r˜eiteten †ersäumnissen und …rs—™hen entgegenzuwirken werden im sie˜ten u—pitel wi™htige ƒi™herheitsm—ÿn—hmen det—iliert erklärtF sm r—uptteil des veitf—dens wird kl—rD d—ss es si™h um kein st—rres ƒi™herE heitskonzept h—ndeltD sondern d—s snform—tionssi™herheit ein €rozess istD der ständig —uf dem v—ufenden geh—lten werden mussF is wird zu jeder w—ÿn—hme eine —ns™hlieÿende fegründung —ngefügtD w—rum diese dur™hgeführt werden sollteF fe—™htung sollte m—n —u™h den zwis™henE dur™h —ngeführtenD wi™htigen enmerkungen s™henkenF Wichtige Sicherheitsmaÿnahmen iin für sein …nternehmen spezi(s™hes ƒi™herheitskonzept ˜eE d—rf der …msetzung ˜ei vertret˜—ren uostenD sowie eine gewisse €r—xist—ugli™hkeit und uomE fort—˜ilitätF h— dieses ni™ht g—nz einf—™h istD zeigt d—s u—pitel —™ht eine prinzipielle †orgehensE weiseD sowie die †orteile dur™h die yrientierung —n der s„Eqrunds™hutzE†orgehensweise des fƒsF els …nterpunkte werden der s„Eqrunds™hutz des fƒs —ls qrundl—ge eines professionellen ƒi™herheitskonzeptes und dessen †orteile für die fenutzerD die ƒtruktur der s„Eqrunds™hutzE u—t—l—oge und —ns™hlieÿend die hur™hführung einer qrunds™hutz—n—lyse näher ˜eh—ndeltF uE sätzli™h zu den hokumenten wird —u™h eine spezielle ƒoftw—reD d—s qƒE„oolD referenziertF Der IT-Grundschutz des BSI IS .

Standards und Zertizierung der eigenen Informationssicherheit sst ein …nternehmen ˜is hierher vorgedrungenD —lso h—t es ein ƒi™herheitskonzept erfolgrei™h dur™hgesetztD d—nn mö™hte es si™h unter …mständen zerti(zieren l—ssenF h—s letzte u—pitel gi˜t einen iin˜li™kD n—™h wel™hen ƒt—nd—rds erti(zierungen mögli™h sindF rier k—nn es oft zu †erwe™hslungen kommenD d— einige ˜ek—nnte ƒt—nd—rds keine erti(zierung in diesem ferei™h unterstützenF sm enh—ng des veitf—den s„Eƒi™herheit (nden si™h die o˜en erwähnten ghe™klistenF is h—ndelt si™h d—˜ei um zirk— SH pr—genD die den snh—lt der w—ÿn—hmen zus—mmenf—ssen und so einen s™hnellen ܘer˜li™k ermögli™henF hur™h die e˜—r˜eitung der ghe™kliste wird kl—rD wel™he w—ÿn—hmen no™h —usständig sindF ens™hlieÿend folgt ein kurzes feispiel ü˜er ein ƒi™herheitskonzept und dessen snh—lt für eine „uEenl—geD sowie weiterführende snform—tionen zu den ˜eh—ndelten „hemenF Anhang 4. Webkurs Grundschutz her ‡e˜kurs ˜ietet einenD mit fildern ver—ns™h—uli™htenD mit feispielen unterm—ltenD lei™hten iinstieg in den s„Eqrunds™hutzF wittels ܘungsfr—gen werden us—mmenhänge werden verE deutli™ht und qelerntes wiederholtF her euf˜—u des ‡e˜kurses ˜esteht grundlegend —us den snh—lten qƒE†orgehensmodells und somit —u™h —us „eilen des s„Eveitf—densF is werden zu jedem €unkt weitere hokumente ˜zwF ƒoftw—relösungen des fƒs referenziertF em feginn des ‡e˜kurses erhält m—n einen ܘer˜li™kD w—rum es wi™htig ist s„Eqrunds™hutz einzusetzenF sm zweiten „eil des ersten u—pitels wird die rilfestelE lung —us dem s„Eqrunds™hutz erklärt und —ns™hlieÿend eine iinführung in den euf˜—u des uurses gege˜enF hur™hgezogen wird d—s …nternehmen ‚ig€veƒ„ qm˜rF —ls feispiel verwendetF Warum IT-Grundschutz sn dem zweiten u—pitel des ‡e˜kurses wird erklärtD wer für d—s w—n—gement der snform—tionsE und s„Eƒi™herheit zuständig ist und mit wel™hen ƒtrukturen und w—ÿn—hmen m—n ein e'ektives s„Eƒi™herheitsm—n—gement erzielen und dieses —ufre™hterh—lten k—nnF is wird die s„Eqrunds™hutzE†orgehensweise referenziertD diese si™h mit e˜˜ildung S de™ktF IT-Sicherheitsmanagement sm dritten u—pitel wird zuerst festgelegt wel™her ferei™h der snform—E tionste™hnik in einer yrg—nis—tion ˜etr—™htet werden sollD dieser ferei™h wird —ls s„E†er˜und festgelegtD weiterführend werden die notwendigen snform—tionen ü˜er den s„E†er˜und und desE sen uomponenten ges—mmeltF hiese ƒ—mmlung wird —ls ƒtruktur—n—lyse ˜ezei™hnetF IT-Strukturanalyse uerst wird im vierten u—pitel geklärtD wel™he uomponenten zu einer ƒ™hutz˜ed—rfsfeststellung gehörenF ens™hlieÿend wird d—s †erf—hren zur ‡ertefestlegung ˜es™hrie˜enF x—™h den ƒ™hutz˜ed—rfsk—tegorien erfolgt die ƒ™hutz˜ed—rfsfeststellung der einE zelnen uomponentenF h—s iel ist esD den ƒ™hutz˜ed—rf der snform—tionste™hnik zu ˜estimmen um d—mit —ngemessene ƒi™herheitsm—ÿn—hmen —uswählen zu könnenF Schutzbedarfsfeststellung IT .2.

e˜˜ildung SX †orgehensweise ˜ei der …msetzung von s„Eqrunds™hutz is wird mit der rilfe des s„Eqrunds™hutzEu—t—logs —ls f—usteinsystemD im se™hsten u—pitelD ein re—ler s„E†er˜und modelliertF h—s u—pitel ˜es™hrei˜tD d—s f—usteine —us teils te™hnis™he uomponentenD teils org—nis—toris™hen †erf—hren und teils ˜esonderen iins—tzformen ˜estehenD sowie die †orgehensweise ˜ei ni™ht p—ssenden f—usteinenF †or—˜ müssen die ƒtruktur—n—lyse und die ƒ™hutz˜ed—rfsfeststellung dur™hgeführt werden @siehe e˜˜ildung TAF Modellierung nach IT-Grundschutz e˜˜ildung TX wodellierung n—™h s„Eqrunds™hutz sm se™hsten u—pitel wird ü˜erprüft o˜ die snform—tionste™hnik —usE rei™hend gesi™hert istD oder o˜ no™h einige w—ÿn—hmen ni™ht umgesetzt wurdenF em feginn erfolgen einige rinweise zu den w—ÿn—hmenD d—nn d—s †orgehen des ƒi™herheits™he™ksD —nE s™hlieÿend wird ein feispielD sowie ein kurzer „est —ngeführtF Basis-Sicherheitscheck h—s sie˜ten u—pitel ˜es™hrei˜t die hur™hführung einer ‚isiko—n—lyseD wie m—n die notwendigen snter—ktionen ˜ei erhöhtem ƒ™hutz˜ed—rf oder ˜ei snform—tionste™hnikD die mit s„Eqrunds™hutzEf—usteinenD ni™ht —usrei™hend oder g—r ni™htD —˜ge˜ildet werden könnenD prüftF fieten einzelne y˜jekte unter …mständen keine hinrei™hende ƒi™herheit so kommt ein ints™heidungsprozessD die ergänzende ƒi™herheits—n—lyseD zum ug @siehe e˜˜ildung UAF Risikoanalyse IU .

e˜˜ildung UX irgänzende ƒi™herheits—n—lyse Realisierungsplanung ‡i™htige espekteD für die …msetzung fehlender w—ÿn—hmenD werden im —™hten u—pitel gen—uer erläutertF is ist sinnvoll wenn si™h die ‚e—lisierungspl—nung —n die ‚eihenfolge von e˜˜ildung V hältF e˜˜ildung VX e˜l—uf der ‚e—lisierungspl—nung Zertizerung des IT-Sicherheitsmanagements h—s letzte u—pitel ˜ietet einen ܘer˜li™kD wie d—s gewonnene ƒi™herheitsnive—u —u™h mittels einem s„Eqrunds™hutzEerti(k—t n—™hgewieE sen werden k—nnF is werden unter —nderem die †orteileD sowie der €rozess der erti(zierung erläutertF 4.3. Zielgruppendenition iin weiterer …nterpunkt der „eil—ufg—˜enstellung ist die fewertung der ielgruppe der ˜eiden o˜en ˜eh—ndelten hokumenteF ‡el™he ielgruppe wird mit dem veitf—den s„Eƒi™herheit und IV .

Initiierung des Sicherheitsprozesses sm fƒsEƒt—nd—rd wird det—iliert erklärtD wieso es wi™htig ist d—ss die veitungse˜ene den ƒiE ™herheitsprozess steuert und w—rum d—s w—n—gement —lle snform—tionen erh—lten mussF is wird unter —nderem erwähntD wie die …msetzung des w—n—gementsystems vom w—n—gement ˜e—™htet werden mussF hiesem „eil wird im hokument s„Eqrunds™hutzpro(l für kleine snstitutionen keine fe—™hE tung ges™henktF is wird ledigli™h —ngemerktD d—ss die qes™häftsführung den €—rt des s„Eƒi™herheits˜e—ufE tr—gten ü˜ernimmtD d— er —ufgrund der qröÿe der snstitution nur wenig wögli™hkeiten für die heleg—tion der wit—r˜eiter h—tF IW .1. Anpassung der Schritte aus dem GS-Vorgehensmodell sm folgenden e˜s™hnitt wird erläutert wie die einzelnen €h—sen der irstellung einer ƒi™herE heitskonzeption n—™h dem qƒrf für die ˜eispielh—fte snstitution —ngep—sst oder interpretiert wurdenF A.1.1. Vergleich: Firmenprol für eine kleine Institution A.dem ‡e˜kurs qrundkurs —ngespro™hen und wie l—utet die fegründungc Leitfaden IT-Sicherheit her veitf—den istD wie o˜en s™hon erwähnt —uf p—™hperson—l und edministr—toren für klein und mittlere …nternehmen oder fehörden —usgelegtF h— der veitE f—den sehr kurz geh—lten istD dient dieser zur eus—r˜eitung und smplementierung eines s„E ƒi™herheitskonzeptesF hieser uurs ist im qegens—tz zum veitf—den det—ilierter und —ufE grund ˜einh—lteter filder und feispieleD sowie „ests eher für €ersonenD die vom qrunds™hutzE konzept ˜etro'en sindF shnen wird mittels den feispielen der qrunds™hutz näher ge˜r—™ht und die ‡i™htigkeit dessen iinh—ltung mittels ƒ™h—densfällen verdeutli™htF Webkurs Grundschutz A.

Konzeption und Planung des Sicherheitsprozesses hie €l—nung des ƒi™herheitsprozesses sel˜st und eine —ngemessene sƒEƒtr—tegie sind e˜enso im fƒsEƒt—nd—rd IHHEP —ngeführtD wie die festimmung der snform—tionssi™herheitsziele und die d—r—us folgenden konkreten ƒi™herheitsE —nforderungenF sm €ro(l für die uleinunternehmen wurde die sƒEƒtr—tegie ni™ht erwähntF is fehlen e˜enf—lls die snform—tionsziele und die d—r—us resultierenden ƒi™herheits—nforderungenF is wird vom fƒsEƒt—nd—rd empfohlenD d—s —ngestre˜te ƒi™herheitsnive—u in fezug —uf die qrundwerte der snform—tionssi™herheit zu ˜ringenD um so ein —ngemessenes ƒi™herheitsnive—u für ˜esonders hervorgeho˜ene qes™häftsprozesse ˜estimmen zu könnenF sm pirmenpro(l für eine kleine snstitution sind zu diesem €unktD keine w—ÿn—hmen vorgeE sehenF Erstellung einer Leitlinie zur Informationssicherheit sm ƒt—nd—rd wird die s™hriftli™he piE xierung einer veitlinie —ls zentr—ler €unkt gesehenF …nter —nderem ˜es™hrei˜t diese zu wel™hem we™ke und mit wel™hen witteln und mit ƒtrukturen die snform—tionssi™herheit innerh—l˜ der snstitution hergestellt werden sollF is sollen die sƒEiele gen—u ˜es™hrie˜en werden und mit wel™hen str—tegis™hen witteln diese errei™ht werden wollenF her qeltungs˜erei™h spielt ˜ei der veitlinie eine wesentli™he ‚olleD d— diese snsitutionsweit oder nur —uf wesentli™he „eile der snsitution zutre'en k—nnF hie veitlinie sollte ni™ht mehr —ls PH ƒeiten umf—ssenD jedo™h mindestens —us einem qeltungs˜erei™hD ielenD ƒi™herheitsstr—tegie und einer yrg—nis—tionsstruktur ˜estehenF †ertr—uli™he snform—tionenD in der veitlinieD müssen —ls vertr—uli™h gekennzei™hnet werdenF sm ƒt—nd—rd s™heint ein sƒEw—n—gementE„e—m —ufD d—s snform—tionen der sƒEveitlinie —usE —r˜eitetF hie veitlinie soll für jeden wit—r˜eiter zugängli™h seinF hie veitlinie sollte kontinuierli™h ü˜er—r˜eitet und —ktu—lisiert werdenF euf Änderungen in den qes™häftszielen und Eprozessen sollte ˜esonders ge—™htet werdenF ‡i™htig sind —u™h ÄndeE rungenD die die yrg—nis—tionsstruktur ˜etre'enD sowie die iinführung von neuen s„EqerätenF is wird eine zweiEjährli™he ܘer—r˜eitung empfohlenF is wird für eine kleine snstitutionen kurz der fegri' ƒi™herheitsleitlinie erläutertF ens™hlieE ÿend erfolgt eine ‚eferenz zum hokument fƒsƒs€yvD um eine ƒi™herheitsleitlinie zu erstellenF ‡eiters wird no™h ein kurzes feispiel gen—nnt um die pr—ktis™he …msetzung zu verstehenF ueine weiteren euss—gen werdem im €unkto ƒi™herheitslinie getätigtF Organisation des Sicherheitsprozesses her fƒsEƒt—nd—rd ˜es™hrei˜t det—iliert die yrg—niE s—tion des ƒi™herheitsprozesses und wie wi™htig es istD gen—ue ‚ollen innerh—l˜ der snstitution zu de(nierenF is werden zw—r „eil—ufg—˜en verteiltD denno™h ˜lei˜t die qes—mtver—ntwortung ˜ei der snstitutionsleitungF is (ndet si™h im ƒt—nd—rd eine gen—ue eufg—˜enverteilung für die vers™hiedenen ‚ollenF PH .

sm pirmenpro(l für eine kleine snstitution sind weder snh—lte von der yrg—nis—tion des ƒi™herheitsprozesses no™h deren ‚ollen zu (ndenF is wird ledigli™h —uf feispiele und ghe™klisten verwiesenF A.1. Erstellung einer Sicherheitskonzeption nach IT-Grundschutz iin iel des s„Eqrunds™hutzes ist esD eine †orgehensweise zur irzielung eines norm—len ƒiE ™herheitsnive—us —nzu˜ietenF hies k—nn —u™h —ls f—sis für ein höheres ƒi™herheitsnive—u dienenF eufgrund dessen werden ƒt—nd—rdEƒi™herheitsm—ÿn—hmen empfohlenY diese sind in f—usteine unterteiltD so d—ss sie —ufein—nder —ufsetzen könnenF is ist in dem €ro(l für kleine snstitutionen nur d—s wesentli™hste us—mmengef—sstF en˜ei (ndet m—n —u™h die e˜˜ildung WF e˜˜ildung WX ƒi™herheitskonzeption yft erfolgverspre™hend sind viele kleine ƒ™hritte und ein l—ngfristiger und kontinuierli™her †er˜esserungsprozessF is muss zunä™hst der ferei™h festgelegt werdenD für den die uonzeption erstellt wirdF sm s„Eqrunds™hutz wird der qeltungs˜erei™h —ls s„E†er˜und ˜ezei™hnetF Denition des Geltungsbereichs hie he(nition des qeltungs˜erei™hes wird in dem €ro(l für kleine snsitutionen vern—™hlässigtF h—s us—mmenspiel der typis™hen qes™häftsprozesseD deren enwendung und die en—lyse ˜eziehungsweise hokument—tion der snform—tionste™hnik tr—gen zu der ƒtrukturE —n—lyse ˜eiF reute ist eine st—rke †ernetzung von s„Eƒystemen ü˜li™hD d—her ˜ietet si™h ein xetztopologiepl—n —ls eusg—ngs˜—sis für die weitere te™hnis™he en—lyse —nF Strukturanalyse PI .2.

1.3. Umsetzung der Sicherheitskonzeption Ergänzende Sicherheitsanalyse …ntersu™hungserge˜nisse werden ges—mmelt und gesi™htetF pehlende oder nur teilweise umgeE setzte w—ÿn—hmen werden t—˜ell—ris™h festgeh—lten und —ns™hlieÿend konsolidiertF iine entE spre™hende hokument—tion ist für den irfolg —us™hl—gge˜endF ens™hlieÿend wird eine uostenE PP .hieses u—pitel wird sehr kurz geh—ltenF is wird —ls feispiel ein €—ss verwendetD der individuell —ngep—sst werden k—nnF Schutzbedarfsfeststellung is wird ermitteltD wel™her ƒ™hutz für die qes™häftsprozesseD die ver—r˜eiteten snform—tionen und die eingesetzte snform—tionste™hnik —usrei™hend und —ngeE messen istF polges™häden müssen re—listis™h eingesetzt werdenY es h—t si™h die iinteilung in drei ƒ™hutz˜ed—rfsk—tegorien ˜ewährtF eu™h ˜ei der ƒ™hutz˜ed—rfsfeststellung wird nur ein sehr kleiner iin˜li™k in die w—terie gege˜enF hie ƒ™hutz˜ed—rfsk—tegorien ˜estehen nur —us norm—len und hohen ƒ™hutz˜ed—rfF en˜ei ist die irläuterung dur™h feispiele gege˜enF x—™hdem die ƒtruktur—n—lyse und die ƒ™hutz˜eE d—rfsfeststellung vorliegenD wird der s„E†er˜und mit rilfe der vorh—ndenen f—usteine —˜ge˜ilE detF h—s irge˜nis ist ein s„Eqrunds™hutzEwodell des snform—tionsver˜unds —us mehreren f—uE steinenF sn diesem u—pitel werden no™h gen—uer die f—usteineD die qefährdungsk—t—loge sowie die w—ÿn—hmenk—t—loge erläutertF is folgt die —ns™hlieÿende wodellierung eines snform—tionsE ver˜undsY ƒi™herheits—spekte werden d—˜ei n—™h „hemen gruppiert ˜etr—™htetF ens™hlieÿend wird mittels ektionspunkten die eusw—hl und enp—ssung der w—ÿn—hmen ˜eh—ndeltF Auswahl und Anpassung von Maÿnahmen hie eusw—hl und enp—ssung der w—ÿn—hmen ist ni™ht det—iliert ˜es™hrie˜enF hieses u—pitel wird wodellierung gen—nntY es wird dur™h feispiele erläutertD wie die f—usteine —nzuwenden sindF h—s irge˜nis istD wie im ƒt—nd—rd —ngeführtD ein „eil der s„Eƒi™herheitskonzeptionF yrg—nis—toris™he †or—r˜eit und die d—zugehörigen ektionspunkte deE (nieren den ƒi™herheits™he™k im ƒt—nd—rdF iin ƒollEsstE†erglei™h dient zur irmittlung des …mE setzungsst—tusF ‡i™htig und —ls eigener €unkt —ufgeführt ist die hokument—tionF Basis-Sicherheitscheck iinen f—sisEƒi™herheits™he™k gi˜t es für die kleinen snstitutionen ni™htF is wird hier eine ƒel˜stü˜erprüfung —ngemerktF hie ƒt—nd—rdEƒi™herheitsm—ÿn—hmen sind in der ‚egel für norm—le qes™häftsprozesseD endwendungen und s„Eƒysteme —usrei™hendF …nter —nderem wird im ƒt—nd—rd der zweistu(ge ens—tz der s„Eqrunds™hutzE†orgehensweise und die †orgehensE weise zur ergänzenden ƒi™herheits—n—lyse gen—uer ˜es™hrie˜en und mit einem feispiel verseE henF is folgt die ‚isiko—n—lyse —uf der f—sis des s„Eqrunds™hutzesF A.

4.2.1. Aufrechterhaltung und kontinuierliche Verbesserung der Informationssicherheit Überprüfung des Informationssicherheitsprozesses in allen Ebenen is werden wethoden —ngeführtD die für eine ܘerprüfung des snform—tionssi™herheitsprozesses wi™htig sindF is folgt die ܘerprüfung der ƒi™herheitsm—ÿn—hmenD sowie die der ƒi™herheitszieleF hiese irge˜nisse werden in den snform—tionsprozess ü˜ernommenF eu™h ist im ƒt—nd—rd festgeh—ltenD wie der snform—tions)uss in der snstitution —uszusehen h—tF …nter —nderem wie feri™hte und hoE kument—tion geh—ndh—˜t werden oder wie die weldewege —ussehen müssenF Informationsuss im Informationssicherheitssystem um „hem— eufre™hterh—ltung und kontinuierli™he †er˜esserung der snform—tionssi™herheit sind keine eng—˜en in dem €ro(l für kleine snsitutionenF A.5.1.eufw—nds™hätzung getätigtD wo˜ei d—s ‚isiko einer ni™ht oder nur teilweise umgesetzten w—ÿE n—hme ersi™htli™h istF is folgt die pestlegung der …msetzungsreihenfolge der w—ÿn—hmenD re—lisierungs˜egleitende w—ÿn—hmen und eventuelle ƒensi˜ilisierungsm—ÿn—hmenF her ergänzenden ƒi™herheits—n—lyseD sowie der …msetzung der ƒi™herheitskonzeption wird hier wenig fe—™htung ges™henktF w—n (ndet st—ttdessen einige …msetzungs˜eispieleF A. Zertizierung nach ISO 27001 auf der Basis von IT-Grundschutz sm fƒsEƒt—nd—rd IHHEP ˜einh—ltet die †orteile einer sƒy PUHHIEerti(zierungF hie qrundl—ge —uf der f—sis des s„Eqrunds™hutz ˜ildet die hur™hführung eines euditsF is werden zusätzli™h die ektionspunkte für eine erti(zierung —ufgezeigtF hie erti(zierung wird ˜ei den kleinen snstitutionen völlig —uÿer e™ht gel—ssenF A. Beurteilung der Anwendbarkeit des Grundschutzprols hieser „eil˜erei™h ˜esteht —us der eufg—˜e d—s hokument mit dem „itel iin s„Eqrunds™hutzpro(l für eine kleine snstitution —uf die zwei €unkte †erständli™hkeit und €r—xis˜ezug zu —n—lyE sieren und den dritten €unkt †er˜esserungsE ˜eziehungsweise ‡eiterentwi™klungsvors™hläge zu er—r˜eitenF qrundsätzli™h ist die †erständli™hkeit des hokuments gege˜enF henno™h ist es von †orteilD si™h mit den hokumenten veitf—den s„Eƒi™herheit und fƒsEƒt—nd—rd IHHEP ˜es™häftigt zu h—˜enF her veitf—den dient hier sozus—gen —ls f—sis für die †erständli™hkeit des hokumentes und der ƒt—nd—rd IHHEP —ls irweiterungD d— dieser für jedes …nternehmen —nwend˜—r sein muss und det—iliertere snform—tionen enthältF Verständlichkeit PQ .

Praxisbezug sm hokument s„Eqrunds™hutz für eine kleine snstitution (ndet si™h ein dur™hE gängiges enwendungs˜eispielD dieses wird —m enf—ng des hokumentes re™ht gut erläutertF h—s enwendungs˜eispiel wird l—ufend —ls feispiel her—ngezogen und —m inde des hokuments ˜eE (nden si™h eine ghe™kliste und w—ÿn—hmenD mittels dieser ein ƒi™herheitskonzept für kleine …nternehmen sehr gut in die €r—xis umsetz˜—r istF Verbesserungs.beziehungsweise Weiterentwicklungsvorschläge keine †er˜esserungsvors™hlägeF eus unserer ƒi™ht gi˜t es Abbildungsverzeichnis IF PF QF RF SF TF UF VF WF ܘersi™ht der …msetzungsph—sen F F F F F F F F F F F F F F F F F F F F F F F F xetzpl—n des ˜eispielh—ften s„E†er˜unds F F F F F F F F F F F F F F F F F F F F irstellung der ƒi™herheitskonzeption im snform—tionssi™herheitsm—n—gement h—rstellung des ƒi™herheitsprozesses F F F F F F F F F F F F F F F F F F F F F F †orgehensweise ˜ei der …msetzung von s„Eqrunds™hutz F F F F F F F F F F F wodellierung n—™h s„Eqrunds™hutz F F F F F F F F F F F F F F F F F F F F F F F irgänzende ƒi™herheits—n—lyse F F F F F F F F F F F F F F F F F F F F F F F F F F e˜l—uf der ‚e—lisierungspl—nung F F F F F F F F F F F F F F F F F F F F F F F F ƒi™herheitskonzeption F F F F F F F F F F F F F F F F F F F F F F F F F F F F F F F F F F F F F F F F F F F F F F F F F R T IH IQ IU IU IV IV PI Literatur ‘fƒs“ BSID für ƒi™herheit in der snform—tionste™hnikX F https://www.bsi.htmlD e˜rufX IVF hezem˜er PHHW schutz fundes—mt IT-Grund- ‘ƒfHW“ Schaumüller-BichlD hs hrF sFX snform—tionssi™herheitsm—n—gement G ƒi™here snforE m—tionssystemeD pr r—gen˜ergF PHHWF ! ƒkriptum PR .bund.de/cln_183/DE/Themen/ITGrundschutz/ itgrundschutz_node.

Sign up to vote on this title
UsefulNot useful