Informations-Sicherheits Beratung

Die ISO27k Gmbh ist ein leistungsstarker und umfassend aktiver Dienstleister für alle Fragen und Anforderungen wenn Sie die BSI Methodik anwenden möchten. Oberstes Ziel der Firma ist es, bei einem rasant wachsenden Bedarf an Security und Compliance, integrierte Lösungen mit maximalem Kundennutzen und -komfort anzubieten.

Aktuell: Das BSI hat es tatsächlich geschafft einen Draft für den neuen Standard 200-2 herauszugeben (Stand März 2017). Wann kommt die finale Version und das zugehörige Prüfschema? -> unbekannt!

So wie es aussieht gibt es einige Änderungen:

- Die "Ergänzende Sicherheitsanalyse" ist ersatzlos gestrichen. Statt dessen wird sofort eine Risikoanalyse fällig, wenn Sie im Schutzbedarf "Hoch" landen.

- Sie müssen Ihre Geschäftsprozesse besser dokumentieren und einbeziehen.

- Sie werden die Dokumentenlenkung verbindlicher gestalten müssen.

- Die Basisabsicherung kommt leider nur für Behörden in Betracht, denn es heisst im Kapitel 3.3.1: Diese Vorgehensweise ist für Institutionen empfehlenswert, bei denen folgende Punkte zutreffen: Es sind keine Aktiva vorhanden, deren Diebstahl, Zerstörung oder Kompromittierung einen existenzbedrohenden Schaden für die Institution bedeutet."

Welches wirtschaftlich tätige Unternehmen kann das von sich behaupten ?

- Der Basis-Sicherheits-Check (BSC) heisst in Zukunft "Grundschutzcheck", - was im neuen Wording durchaus Sinn macht.

- Der neue 200-2 umfasst 147 Seiten, der alte hat 95 Seiten. Soviel zum Thema "Vereinfachung"

Was hat sich leider nicht verbessert ?

- Das leidige Thema "Netzplan" wurde sogar noch ausgebaut!
- Der Auditkandidat muss seine Vorgehensweise zur Gruppenbildung immer noch nicht begründen.
- Der neue Grundwert "Belastbarkeit / resilience", der durch die DSGVO Artikel 32 1b eingeführt wird, ist leider nicht berücksichtigt.

Alles was Sie über den neuen Grundschutz wissen müssen

Das BSI arbeitet seit 2009 an einer Neusortierung des Grundschutzes. Damals war mal das E-V Modell en vogue. Heute, im Jahr 2017 baut das BSI gerade alles komplett um und zerlegt nebenbei auch die etablierten Strukturen um die BSI-Auditoren, vor denen man annimmt Sie würden den neuen Grundschutz dann "unter die Leute" bringen. Es soll also nicht nur ein paar neue Bausteine geben, es wird auch noch viel mehr Bausteine geben und sortiert werden die neuen Bausteine auch nicht in fünf Schichten wie bisher, sondern in so vielen Kategorien das man für die Orientierung einen Kompass braucht.
Beabsichtigt ist mit der Renovierung des Grundschutzes eine Vereinfachung und eine Reduktion auf das wirklich Nötige. Gerade auch um die Akzeptanz für das Vorgehensmodell ausserhalb der Bundesverwaltung zu verbessern. In Zukunft werden 3 Wege in den Grundschutz führen. (Kern, Basis, Standard)
Insgesamt sind die Grundschutzkataloge ein sinnvolles und hochwertiges Gesamtwerk. Falls es das BSI geschafft hätte die Kataloge auch für andere Sprachen zu produzieren wäre die Sammlung an "Controls" weltweit einmalig gewesen und hätte einen globalen Maßstab setzen können.
Aber dazu hat es nicht gereicht. Auch die Vertretung auf Kreta hat dahingehend nichts zustande gebracht. Von einer Vereinfachung durch die jetzt neu geplanten Standards und Bausteine kann bisher übrigens für das Zertifizierungsniveau (Standard) keine Rede sein. Wer schon mal einen Blick auf die Vorläufer der neuen Bausteine geworfen hat wird schnell merken, dass der Grundschutz in Zukunft auf die Zielgruppe der Behörden beschränkt bleiben wird. Alle "nicht öffentlichen" werden sich den zukünftigen müssen MÜSSEN Katalog sicher nicht antun. .....
[Anmerk. der Redaktion: wir bitten die vorausgehenden Entgleisungen des Autors zu entschuldigen, ein Teil des Beitrages wurde gekürzt]

GS-Tool und Nachfolger

Drama oder Hoffnungsschimmer?

Das BSI hat das GS-Tool abgekündigt. Die 15te Ergänzungslieferung soll (angeblich) die letzte sein. Aufgrund der diffusen Zeitachse bei der Migration zum Grundschutz "Neu" können Sie damit rechnen, dass Sie das GS-Tool noch locker bis 2017, oder gar 2018 weiter betreiben können.
Es wird noch eine ganze Zeit dauern bis das BSI ein zertifizierungsfähiges Gesamtwerk der Grundschutzkataloge geboren hat. Wir helfen Ihnen gerne bei der Migration zu anderen Tools, oder auch mit individuellen Schulungen, die z.B. durch einen personellen Wechsel nötig werden.

Nach oben ⇑

BSI konforme Netzpläne

Netzwerk-Übersichten

Ein gut strukturierter Plan Ihres IT-Verbundes ist praktisch die Eintrittskarte in den Grundschutz.
Herauszufinden was alles in einen bsi-konformen Netzplan hineingehört und was eher nicht ist gar nicht so leicht. Das Bundesamt versteckt die dazugehörigen Information in vielen verschiedenen Quellen.
Sie benötigen Unterstützung beim Erstellen eines solchen Netzwerkplanes? Kein Problem schreiben Sie bitte eine kurze Email mit Ihren Verbunddaten, sodass wir Ihnen eine passgerechte Aufwandsabschätzung geben können.

Strukturanalyse

Eine Art Bestandsaufnahme. Was gehört zu Ihrem Verbund dazu? Falls Sie unsicher sind, ob Sie ein System aufnehmen müssen, stellen Sie sich einfach die Frage: "Was passiert wenn dieses System abgeschaltet wird?" - Merkt das jemand im Verbund, - dann gehört es definitiv dazu. Gut, das ist nur ein Kriterium von vielen. Sie beachten bitte auch die indirekten Abhängigkeiten für die Geschäftsprozesse. Behalten Sie im Auge, dass der Grundschutz zunächst einmal den Schutz "der Daten" im Fokus hat. Die Liste Ihrer Anwendungen bestimmt letztlich den Umfang Ihres IT-Verbundes.

Modellierung

Jetzt wird es speziell. Kein anderes IT-Schutz-Verfahren weltweit arbeitet so. Für den Vorgang der Modellierung benötigen Sie zwingend die Grundschutzkataloge des BSI. Diese vielen Seiten Papier enthalten die sogenannten "Bausteine". Diese Bausteine enthalten, zum jeweiligen Thema passend, die "üblichen" Gefährdungen und die dazu passenden Schutzmaßnahmen. Die zugrundeliegenden Annahmen bezüglich der Eintrittswahrscheinlichkeit und der Angemessenheit einer Maßnahme wird innerhalb der Grundschutzkataloge nicht transparent dargestellt. Insofern müssen Sie bei der Umsetzung der BSI Standards 100-x einfach den Beamten in Bonn vertrauen. Ihr nächster Schritt besteht darin die reale IT bei Ihnen im Verbund Mithilfe der Bausteine nachzubilden. Sie bauen sich also eine Art BSI-Legoland Ihrer Infrastruktur nach. Was das soll erfahren Sie im nächsten Absatz.

BSC, ergänzendes Sicherheitsanalysen und Risikoanalysen

Sinn und Zweck der gesamten Übung ist es die Daten und die zugehörigen Systeme, Räume, Netze, Anwendungen so sicher zu betreiben, dass keine Schäden entstehen. Nach der Modellierung Ihrer Infrastruktur haben Sie einen Maßnahmenkatalog in der Hand. Wenn Sie diesen Katalog nun minutiös umsetzen sind Sie, nach Einschätzung der Beamten des BSI, gegen "normalen" Unbill ausreichend geschützt. Wie schon gesagt, die Hersteller der Grundschutzkataloge teilen uns nicht im Detail mit, weshalb Maßnahmen wegen "normaler" Gefahrenlage für erforderlich gehalten werden. Themen die in anderen Standards ein Rolle spielen, wie z.B. Eintrittswahrscheinlichkeit, Wirtschaftlichkeit, Angemessenheit und akzeptierte Risikobereitschaft sind für Aussenstehende nicht erkennbar eingearbeitet. Gerade beim Thema "zu akzeptierendes Risiko" kommt eine mit Geld üppig ausgestattete Bundesverwaltung sicher zu anderen Einschätzungen als ein am Markt agierendes Unternehmen, das sich entscheiden muss, ob es seine IT nach BSI Grundschutz sicher gestaltet und damit pleite geht oder lieber etwas mehr Risko übernimmt und die freien Ressourcen dann in die Wettbewerbsfähigkeit investiert. Denn zumindest ausserhalb der "Dragi-Welt" kann man den Euro nur einmal ausgeben.

Nach oben ⇑

Regelungen, Anweisungen, Vorgaben .....




Ja, Sie können die Papiere sicher auch alle selbst erstellen. Dafür sollten Sie sich allerdings ein paar Tage Zeit nehmen. Oder Sie bauen auf die Erfahrung und das Wissen eines Experten.

A0 Papiere und weitere 60 bis 80 Papiere aus den Bausteinen

Der Grundschutz fordert als Einstiegsgrundlage die Erstellung der A0 Dokumente. Die Sicherheitsleitlinie Die Richtlinie zur Risikoanalyse Die Richtlinie Verfahren zur Lenkung von Dokumenten und Aufzeichnungen Die Richtlinie zur internen ISMS Auditierung Die Richtlinie zur Lenkung von Korrektur und Vorbeugemassnahmen
Dazu kommen noch: Protokollierungskonzept, Virenschutzkonzept, Datensicherungskonzept, Backupkonzept, Notfallkonzept, Notfall-Handbuch, IT-Betriebshandbuch, Berechtigungskonzept, Kryptokonzept, Archivierungskonzept, Outsourcing-Konzept, Regelungen Fremdpersonal und Besucher, Regelung der Zuständigkeiten und Verantwortlichkeiten, Personalkonzept /Schulung, Einsatz, Vertreter), Vereinbarungen mit Mitarbeitern, Regelung zur Behandlung von Sicherheitsvorfällen, Regelungen zum Einsatz von Hard und Software, Regelung zum Passwortgebrauch, Vorschriften beim Einsatz von Hard und Software, Regelungen zur Sicherheit von genutzten Gebäuden und Räumen und Homeoffices, Richtlinie mobile Endgeräte, Richtlinie Server, Richtlinie Client+Server Netz, Microsoft Client Sicherheitsrichtlinie, Konzept für Sicherheitsgateways, Richtlinie Routing / Switching, Richtlinie Datenspeicherung, Richtlinie mobile Endgeräte, Richtlinie Drucker und Kopierer, Konzept Netzmanagement, Systemmanagement Strategie, Regelung zum Modemeinsatz, Konzept zum RAS, Sicherheitsstrategie Wireless, Lotus Notes und Exchange Strategien und Konzepte, usw...

Nach oben ⇑

Interne Erfolgskontrolle

Interne Audits dienen der Qualitätskontrolle und sind für den Nachweis eines erfolgreich geführten ISMS unerlässlich. Gerne übernimmt unser BSI Auditor für Sie die Überprüfung beliebiger Teilaspekte Ihres IT-Betriebes. Für den Einstieg bewährt haben sich Themen wie "Umgang mit Passwörtern", - gerade auch innerhalb der IT-Abteilung. Oder eine Prüfung der Wirksamkeit von Massnahmen zum Thema "Schutz vor schädlicher Software". Bei Bedarf wird auch die Konformität von Teilbereichen zum BDSG überprüft.

Externe Audits
Lassen Sie eine andere Person Ihr Werk in Augenschein nehmen. Manchmal sieht man den Wald vor lauter Bäumen nicht mehr.



Nach oben ⇑

Sensibilisierung

Nicht nur Benutzer, auch und gerade die Administratoren benötigen hin und wieder ein paar grundlegende Informationen zum Thema IT-Sicherheit.
Leider sind es gerade die altgedienten Admins die dem Glauben erliegen eine jahrzehntelange Tätigkeit in der EDV würde eine Art digitale Immunität hervorbringen.
Dem ist nicht so. - Gerade wer oft oder sogar andauernd, mit administrativen Rechten unterwegs ist muss ständig Vorsicht walten lassen und, jetzt kommt's, seine Arbeit und Werkzeuge so gestalten, dass Risiken schon vom System her ausgeschlossen und minimiert werden.
Wir bieten Ihnen zielgruppengerechte Schulungs- und Sensibilisierungsmaßnahmen rund um das Thema IT-Sicherheit. Dauer ca. 2 Stunden je nach Ihren Wünschen.