Zielobjekt: GP-ID xxx
Die vorliegende Business criticality scorecard (BCS) dient dazu,
- die für den o.g. Geschäftsprozess (sowie für die dafür verwendeten IT-Systeme / IT-Applikationen) durchgeführte Kritikalitätsbewertung,
- dessen – mittels einer CIA-Szenarien-Analyse – ermittelten Informationssicherheitsrisiken sowie
- den Status hinsichtlich der Erstellung und Pflege der risikomindernden QK-Resultate[1]
zu dokumentieren.
Basierend auf der Kritikalitäts- und Risikobewertung wird in der vorliegenden BCS vom Informationssicherheitsbeauftragten (ISB) entschieden, welcher Aufwand in die weitere Sicherheitsanalyse (des Prozesses) investiert werden muss, um ein für unsere adäquates Sicherheitsniveau zu erreichen.
Die Entscheidung wird – im Rahmen der Revision der Kritikalitäts- und Risikobewertung – jährlich hinterfragt und ggfs. bestätigt.
Die möglichen Entscheidungsstufen sind nachfolgend beschrieben, wobei – sofern nicht Stufe 0 ausgewählt wurde – eine Stufe immer die Stufen darunter inkludiert[2].
|
Stufe |
Aufwand Sicherheitsanalyse |
|
0 |
Keine weitere Analyse notwendig |
|
1 |
Standard-Maßnahmen Durchführung einer GAP-Analyse auf die Standardmaßnahmen unserer Organisation oder alternativ Bestätigung durch die IT-Abteilung bzw. den BDL/WD, dass die Maßnahmen umgesetzt sind. è Dokumentation kann bei Bedarf über Anhang E erfolgen. |
|
2 |
Erweiterte Sicherheitsanalyse Durchführung einer spezifischen Schwachstellenanalyse mittels einer Bedrohungsmodellierung (z. B. STRIDE) |
|
3 |
Technische Sicherheitsanalyse Durchführung eines Penetrationstest oder einer Quellcodeanalyse durch eine unabhängige dritte Partei. |
Die
für den Prozess durchgeführte Kritikalitätsbewertung ist im
nachfolgenden Abschnitt 2 dokumentiert.
Die Entscheidung des ISB hinsichtlich des weiteren Aufwands für die
Sicherheitsanalyse ist im Kapitel 3 beschrieben.
|
Hinweis zur Nutzung des BCS-Templates:
<< Blaue Texte beschreiben die Erwartungshaltung bzgl. der Mindestinhalte der zu liefernden Informationen >> << Grüne Texte geben Ausfüll-Hinweise.>> << Rote Texte geben wichtige Ausfüll-Hinweise zu oft missinterpretierten Abfragen. >>
Bitte immer das DropDown-Menü verwenden und zusätzlich per „Freitext“ antworten, da die teilweise automatisierte Auswertung der BCS die Anforderung ansonsten als „unbearbeitet“ erkennt und an den zuständigen PO zurück adressiert.
|
|
business
critical scorecard
|
|||||||||||||||||||||||||||||||
|
Allgemeine Grundfakten zum betrachteten GP/Vorhaben |
|||||||||||||||||||||||||||||||
|
GP-ID: |
<< Bitte GP-ID aus Prozesslandkarte (PLK) verwenden >> |
||||||||||||||||||||||||||||||
|
Name des Prozesses |
<< Bitte Name des Prozesses (analog Benennung PLK) verwenden >> |
||||||||||||||||||||||||||||||
|
Prozesseigner (Process Owner) |
<< Bitte Name des Prozess Owners (analog Zuordnung PLK) verwenden >> |
||||||||||||||||||||||||||||||
|
In welchem Status befindet sich der Prozess bzw. die verwendete IT-Infrastruktur? |
Wählen Sie ein Element aus. |
||||||||||||||||||||||||||||||
|
Kurzbeschreibung des Prozesses (fachlich) |
<< Bitte beschreiben Sie hier den fachlichen Zweck ( „Business need“) des hier betrachteten Geschäftsprozesses / Vorhabens. >> |
||||||||||||||||||||||||||||||
|
Kurzbeschreibung des Prozesses (technisch) |
<< Bitte beschreiben Sie hier – high Level - die technische Realisierung des oben fachlich beschriebenen Geschäftsprozesses / Vorhaben oder verlinken Sie alternativ auf >>
Ausfüll-Hinweis: Obsolet bei SaaS (wie z. B. Office 365) und/oder Nutzung von öffentlichen Plattformen, wie z. B. Facebook. Hier ist ein Hinweis ausreichend, was zum Einsatz kommt sowie ggfs. Hinweis auf SLAs oder anderweitige Lizenz- / Konfigurationsentscheidungen (z. B. E3-Lizenz bei Office 365)- |
||||||||||||||||||||||||||||||
|
Verwendete |
<< Listen sie hier bitte die explizit für bzw. durch ihren Geschäftsprozess genutzten fachlichen IT-Applikationen auf, z. B. webbasiertes Kundenportal >>
Ausfüll-Hinweis: Obsolet bei SaaS (wie z. B. Office 365) und/oder Nutzung von öffentlichen Plattformen, wie z. B. Facebook. Hier ist ein Hinweis ausreichend, was zum Einsatz kommt sowie ggfs. Hinweis auf SLAs oder anderweitige Lizenz- / Konfigurationsentscheidungen (z. B. E3-Lizenz bei Office 365). |
||||||||||||||||||||||||||||||
|
Art der Anwendung |
Wählen Sie ein Element aus. |
||||||||||||||||||||||||||||||
|
Hinweis: - Nutzung von Social Media Plattformen, wie z. B. Facebook - zwecks Pflege der Unternehmenspräsentation - , fällt unter Kategorie 4. o Kategorie 4- Lösungen zeichnen sich dadurch aus, dass es – außer ggfs. den AGBs - keine gesonderte vertragliche Grundlage gibt. Eine Bearbeitung der Abschnitte Release und Betrieb ist für Lösungen der Kategorie 4 nicht erforderlich, da kein Einfluss auf die Leistungserbringung genommen werden kann. o Bitte beachten, dass für alle Einträge der Kategorie 4 eine spezifizierte Richtlinie publiziert sein muss, welche die ordnungsgemäße Verwendung der Plattform bzw. des externen Services regelt.
- Externe SaaS-Lösung, welche – im Rahmen unser Wertschöpfungskette oder bei dessen Steuerung genutzt werden, fallen unter Kategorie 3.2. Hier gibt es i.d.R. eine Betriebsvereinbarung / Leistungsbeschreibung sowie ggfs. definierte SLAs. Unsere Organisation kann hier auf die Leistung Einfluss nehmen und z. B. Anforderungen definieren. Themen, wie z. B. o Microsoft Office 365, o Betrieb SAP-Basis (inkl. Module, ohne Spezialanpassungen), o Betrieb VMWare Plattform, o Betrieb Standard-Netzwerk-Infrastruktur sind Querschnittsthemen,
die durch die IT bzw. durch die zuständige Fachabteilung verantwortet werden
und deshalb im Bereich „verwendete Plattformen“ zu erwähnen sind. |
|||||||||||||||||||||||||||||||
|
Verwendete |
<< genutzte IT-Systeme >>
Hinweis: Listen sie hier bitte die explizit für bzw. durch ihren Geschäftsprozess genutzten IT-Systeme inkl. ihrer Rolle („Web-, Datenbank-, Backup-, File-, Proxy- Anwendungsserver etc.) auf, bestenfalls mit der CMDB-ID. |
||||||||||||||||||||||||||||||
|
Verwendete Plattform(en) |
<< genutzte IT-Plattform(en) / IT-Services >>
Hinweis: Bitte beschreiben Sie hier die ggfs. genutzten IT-Plattformen / Services, wie z. B. VMWare Plattform (interne Cloud), externe Cloud, Active Directory zur Benutzer-Authentifizierung oder Identifizierung, Anbindung an Monitoring / SIEM der IT-Abteilung, Anbindung Backup-Service, externer Schwachstellenscanner etc.
|
||||||||||||||||||||||||||||||
|
Schnittstellen (IP-Ebene) |
<<Verlinkung QK-BD-x: Schnittstellen des betrachteten Systems oder alternativ Auflistung der Schnittstellen>>
Hinweis: Bitte Qualitätskriterium QK-BD-1 verlinken oder alternativ die Schnittstellen des betrachteten Systems beschreiben. Das umfasst - Benennung Provider/Consumer der Schnittstelle/Verbindung (bzw. ggfs. Angabe „bidirektional“) - das verwendete technischen Protokoll (z. B. REST via https), - die übertragenen Daten, samt SBF C/I/A (z. B. aktualisierte Leitcodes, HHN), - und Anbindung, z. B. o CN-interne Verbindung ohne FW-Freischaltung, o Nutzung VPN (Site-2-Site), o ausgehende Verbindung zu einem über das Internet erreichbaren Umsystems mittels Internet Proxy(ausgehend), o Eingehende Verbindung aus dem Internet über DMZ-Infrastruktur |
||||||||||||||||||||||||||||||
|
Hat das System eine aus dem Internet adressierbare Schnittstelle? (Ohne VPN) |
unbearbeitet |
||||||||||||||||||||||||||||||
|
Kurzbeschreibung der schützenswerten Daten / Informationen, welche im Kontext des Prozesses verarbeitet werden |
<< Bitte listen Sie in dieser Tabelle alle – im Rahmen ihrer GP verarbeiteten oder erzeugten – Informationen auf, die hinsichtlich Vertraulichkeit einen Schutzbedarf höher als „normal“ haben, die also z. B. nicht jeder Mitarbeiter der Organisation sehen sollte, z. B. Gehaltslisten aller Mitarbeiter, Konstruktionspläne etc. >> Hinweis: Die ersten Einträge stellen Beispiele dar, welche vom PO zu bewerten sind, ob sie im Rahmen des Prozesses verarbeitet werden. Im Anschluss sind eigene Einträge zu ergänzen- Vertraulichkeit:
|
||||||||||||||||||||||||||||||
|
Integrität: << Bitte listen Sie hier alle – im Rahmen ihrer GP verarbeiteten oder erzeugten – Informationen auf, die – auf Grund ihrer Verwendung, z. B. als Berechnungs- oder Verteilungsgrundlage - einen höheren Integritätsschutz bedürfen, da sie z. B. in den eigenen oder anderen Prozessen zu verfälschten Ergebnissen führen würden. >>
|
|||||||||||||||||||||||||||||||
|
Verfügbarkeit: << Bitte listen Sie hier alle – im Rahmen ihrer GP verarbeiteten oder erzeugten –Informationen auf, die – auf Grund ihrer Verwendung - einen höheren Verfügbarkeitsanspruch haben, z. B. Shopsystem.>>
|
|||||||||||||||||||||||||||||||
|
Interviewer (IS) |
|
||||||||||||||||||||||||||||||
|
Datum des Interviews |
xx.xx.2021
|
||||||||||||||||||||||||||||||
|
Status Scorecard |
unbearbeitet |
||||||||||||||||||||||||||||||
|
|
|
||||||||||||||||||||||||||||||
|
----------------- BEREICH Release-to-production (RTP) -----------------
|
|
|
business
critical scorecard
|
|
|
|
|
|
|
Grundfakten Release-to-production |
||
|
|
Auswahl |
Platz für Anmerkungen / Zusatzinformationen etc. |
|
Art des Release-Prozesses |
Wählen Sie ein Element aus. |
Hinweis: Nutzung von Social Media Plattformen, wie z. B. Facebook zwecks Pflege der Unternehmenspräsentation, fällt unter Kategorie 4. |
|
Angaben zum Entwicklerteam |
Wählen Sie ein Element aus. |
<<Bei Einsatz von externen, bitte Nennung der Dienstleister bzw. Freelancer>> |
|
Angaben zu den Release-Verantwortlichkeiten |
Wählen Sie ein Element aus. |
|
|
Angaben zu den erwarteten Q-Kriterien (RTP) |
||
|
Sind die funktionalen und nicht-funktionalen (bzw. die fachlichen und nicht fachlichen Anforderungen) dokumentiert? |
Wählen Sie ein Element aus. |
<<Ablageort QK-Plan-1 „Anforderungsdokumentation“ >>
Hinweis: Die Anforderungsdokumentation umfasst verbindliche und belastbare Übereinkunft aller Stakeholder über vom IT-System zu erfüllende Anforderungen als Basis für die Realisierung und Abnahme. Gilt auch für Standard-Software! Primäres Ziel dieses QK-Resultats ist: - Umsetzung der „Kundenanforderungen“ (aus Projekt-Sicht, also ggfs. Fachseite) für RUN-Leistungen - Umsetzen von technologischen sowie Kapazitätsanforderungen Anmerkung: Die Angaben zu Erstellung und
Form sowie zu den Q-Kriterien des Resultats gelten unabhängig von der
Vorgehensweise, also auch für agile und DevOps Teams. |
|
Gibt es ein Testkonzept? |
Wählen Sie ein Element aus. |
<<Ablageort „QK-RTP-1-1Testkonzept“ einfügen>>
Hinweis: Bei Verwendung von Standardsoftware (ohne Anpassung im Rahmen eines SW-Projektes) obsolet. Die Angaben zur Verlinkung der Q-Kriterien, also des entsprechenden Resultats gelten unabhängig von der Release-Vorgehensweise, also auch für agile und DevOps Teams: - Die Freigabe des Sprintergebnisses bzw. der User Story erfolgt z.B. im Rahmen eines SCRUM Reviews - Für DevOps Teams erfolgt die „Abnahmeerklärung System“ analog mit dem Step „PO“ – Product Approval innerhalb der CI/CD Pipeline |
|
Ist die Testabdeckung der Testfälle über 80%? |
Wählen Sie ein Element aus. |
<<Ablageort „QK-RTP-1-2 Testfälle“ einfügen>>
Hinweis: Bei Verwendung von Standardsoftware (ohne Anpassung im Rahmen eines SW-Projektes) obsolet. |
|
Werden die folgenden Governance-Vorgaben beim Testen eingehalten: - Nutzung einer separaten Test- und Stagingumgebung - Keine Tests mit vertraulichen Echtdaten oder alternativ gleichwertige Absicherung der Testumgebung |
Wählen Sie ein Element aus. |
Hinweis: Sofern keine Ausnahmegenehmigung vorliegt, muss auch für Standard-Software ein Testkonzept vorliegen. |
|
Berechtigungskonzept |
Wählen Sie ein Element aus. |
Wird für das IT-System eindeutig und vollständig vorgegeben, wann welche Berechtigungen wie durch wen für was eingerichtet/gelöscht werden? Entsprechen diese Vorgaben dem „need to know“- und dem „need to use“-Prinzip? Werden die Prozesse zur Erteilung, zur Prüfung und zum Entzug der Zugriffsrechte beschrieben? |
|
Gibt es zu den letzten Releases / Deployments eine Abnahmeerklärung mit Testprotokoll, welches u.a. die Ergebnisse des UAT, OAT (betriebliche Abnahme) sowie der Security-Tests, umfasst? |
Wählen Sie ein Element aus. |
<<Ablageort „QK-RTP-1-3 Ergebnis Codemessung“ zwecks Nachweis Compliance zu Codier-Richtlinien“ einfügen>>
<<Ablageort „QK-RTP-1-4 Testprotokolle“ einfügen>>
<<Ablageort „QK-3 „Abahmeerklärung“ mit Verweis auf QK-1-4 Testprotokolle“ (betriebliche Abnahme) einfügen>>
Hinweis: Sofern keine Ausnahmegenehmigung vorliegt, muss auch für Standard-Software eine Annahmeerklärung vorliegen. |
|
Wurden Release-Notes erstellt sowie eine Installations- und Konfigurationsbeschreibung? |
Wählen Sie ein Element aus. |
<<Ablageort QK-2 Installations- und Konfigurationsbeschreibung einfügen>>
Hinweis: Sofern keine Ausnahmegenehmigung vorliegt, muss auch für Standard-Software eine Installations- und Konfigurationsbeschreibung vorliegen. |
|
Liegen NDAs mit den DL vor bzw. enthalten die Verträge entsprechende Vertraulichkeitsvereinbarungen? |
Wählen Sie ein Element aus. |
|
|
----------------- BEREICH BETRIEB -----------------
|
|
|
business
critical scorecard
|
|
|
|
|
|
|
Grundfakten IT-Betrieb (auch SaaS) |
||
|
|
Auswahl |
Platz für Anmerkungen / Zusatzinformationen etc. |
|
In welcher Betriebsumgebung werden die serverseitigen IT-Systeme / IT-Applikationen des betrachteten Prozesses betrieben? |
Wählen Sie ein Element aus. |
<<Zusatzinformationen, wie - Name des DL, - Betriebsmodell (Housing, Hosting, IaaS, PaaS ..) - Vertragsgrundlage / SLA sind hier zu beschreiben>> |
|
Aus welchen Netzen greifen die Clients zu? |
Wählen Sie ein Element aus. |
|
|
Wie viele User nutzen das System? |
Wählen Sie ein Element aus. |
Hinweis: Hier geht es um eine grobe Schätzung. Ferner geht es um die am System berechtigten User und nicht um eingekaufte Lizenzen oder ähnliches.
|
|
Wer nutzt das System? |
Wählen Sie ein Element aus. |
|
|
Wer ist für den Betrieb / Wartung der Betriebssysteme der durch den GP genutzten IT-Systeme verantwortlich? |
Wählen Sie ein Element aus. |
Hinweis: Bzgl. Kategorie-3 (OPS-Modell) ist einer der genannten IS-Nachweise ausreichend, um die Informationssicherheit als nachgewiesen anzusehen. Bzgl. Audit wäre ein Audit durch eine unabhängige dritte Partei ebenfalls ausreichend, sofern die ISMS-Verantwortlichen unserer Organisation (sowie ggfs. auf Wunsch weitere Fachexperten) den Auditbericht einsehen können. |
|
Gibt es ein Betriebshandbuch oder alternativ ein SLA/Vertrag mit Leistungsbeschreibung sowie entsprechendem Reporting hinsichtlich Leitungserbringung? |
Wählen Sie ein Element aus. |
Hinweis: Erfolg der Betrieb/Wartung der Server einschließlich der darauf installierten Middleware / Zusatzsoftware durch dieselbe „Organisationseinheit“ bzw. demselben Dienstleister“, dann Bedarf es keines Wartungs- und Supportkonzeptes. Die Existenz eines BHB ist – in diesem Fall – ausreichend. |
|
Wer ist für den Betrieb / Wartung der Middleware-Komponenten betrieben? (z. B. JBOSS, Tomcat etc.) sowie ggfs. weiterer Zusatzsoftware / Standardsoftware (z. B. Datenbank) verantwortlich? |
Dienstleister: Wählen Sie ein Element aus.
Status Handbuch: Wählen Sie ein Element aus. |
<<Ggfs. Zusatzinformationen, wie - Name des DL, - Betriebsmodell (Housing, Hosting, IaaS, PaaS ..) - Vertragsgrundlage / SLA sind hier zu beschreiben>> |
|
Wer ist für den Betrieb / Wartung der Fachapplikation (z. B. Eigenentwicklung, CMD-Software, Kundenportal etc.) verantwortlich? |
Dienstleister: Wählen Sie ein Element aus.
Status Handbuch: Wählen Sie ein Element aus. |
Hinweis: Falls vorhanden, dann bitte auf das QK-Resultat „Wartungs- und Supporthandbuch“ verlinken bzw. auf das QK-Resultat „Betriebshandbuch“, falls keine Verteilung der Aufgaben auf verschiedene Organisationen / Dienstleister vorgesehen ist. |
|
Wer ist für den Support der Fachapplikation (z. B. 1. Level Support durch Hotlinie etc.) verantwortlich? |
Dienstleister: Wählen Sie ein Element aus.
Status Handbuch: Wählen Sie ein Element aus. |
Hinweis: Falls vorhanden, dann bitte auf das QK-Resultat „Wartungs- und Supporthandbuch“ verlinken bzw. auf das QK-Resultat „Betriebshandbuch“, falls keine Verteilung der Aufgaben auf verschiedene Organisationen / Dienstleister vorgesehen ist. |
|
Gibt es darüber hinaus eine fachliche (webbasierte) Administrations-GUI? |
[ja/nein] |
<<Ggfs. Zusatzinformationen, wie Beschreibung der über diese GUI durchführbaren Aktivitäten.>>
|
|
----------------- BEREICH COMPLIANCE -------------
|
|
|
business
critical scorecard
|
|
|
|
|
|
|
Verarbeitet das System (bzw. der Prozess) personenbezogene Daten? Wenn ja, wurde der DSB eingebunden und die von ihm geforderte Dokumentation erstellt? |
Wählen Sie ein Element aus.
|
|
|
Ist über das System direkt oder implizit eine Überwachung von Mitarbeiter-Leistung möglich? Wenn ja, wurde der Betriebsrat eingebunden und die von ihm geforderte Dokumentation erstellt? |
Wählen Sie ein Element aus.
|
|
|
Ist das System relevant für die Rechnungslegung und fällt somit unter die Regelungen des GoBD? |
Wählen Sie ein Element aus.
|
|
|
Compliance |
||
|
Bitte beschreiben Sie die relevanten Compliance-Vorgaben des von Ihnen verantworteten Geschäftsprozesses. (intern & extern) |
Anwendbare Gesetze: |
|
|
<< Bitte ggfs. LEGAL kontaktieren, falls die anwendbaren Gesetze nicht bekannt! >> |
||
|
Kundenvorgaben: |
||
|
|
||
|
----------------- BEREICH Kritikalitätsbewertung -------------
|
|
Kritikalitätsbewertung |
|
||
|
Szenario: Stellen Sie sich vor, ein Hacker (und/oder ein Mitbewerber) hätte Zugriff auf die Daten / Informationen des Prozesses? [Vertraulichkeit] |
Beschreiben Sie den konkreten Schaden, welcher für UNSERE ORGANISATION denkbar wäre. |
||
|
|
|||
|
Wie schätzen Sie das Risiko für UNSERE ORGANISATION ein? |
|||
|
W |
Wählen Sie ein Element aus. |
||
|
S |
Wählen Sie ein Element aus. |
||
|
Risikohöhe |
Wählen Sie ein Element aus. |
||
|
|||
|
Szenario: Stellen Sie sich vor, ein Hacker (und/oder ein Mitbewerber) könnte die die Daten / Informationen des Service verfälschen („Integritätsverlust“). [Integrität] |
Beschreiben Sie den konkreten Schaden, welche für UNSERE ORGANISATION denkbar wäre. |
||
|
|
|||
|
Wie schätzen Sie den Schaden für UNSERE ORGANISATION ein? |
|||
|
W |
Wählen Sie ein Element aus. |
||
|
S |
Wählen Sie ein Element aus. |
||
|
Risikohöhe |
Wählen Sie ein Element aus. |
||
|
|||
|
Szenario: Stellen Sie sich vor, der Service bzw. die Daten wären für mehr als ein Tag nicht verfügbar. [Verfügbarkeit] |
Beschreiben Sie den konkreten Schaden, welcher für UNSERE ORGANISATION denkbar wäre. |
||
|
|
|||
|
Wie schätzen Sie den Schaden für UNSERE ORGANISATION ein? |
|||
|
W |
Wählen Sie ein Element aus. |
||
|
S |
Wählen Sie ein Element aus. |
||
|
Risikohöhe |
Wählen Sie ein Element aus. |
||
|
Gäbe es einen Workaround, um die Geschäftsanforderungen zu erfüllen (z. B. manueller Prozess)? |
|||
|
|
|||
|
Ab welchem Zeitraum wäre ein Ausfall für UNSERE ORGANISATION kritisch? |
|||
|
Wählen Sie ein Element aus.
|
|||
|
|
|
Informationssicherheitsrisikoeinschätzung wird von ISB ausgefüllt |
|
|
Gibt es im Kontext des Geschäftsprozesses weitere Informationssicherheitsrisiken, welche für UNSERE ORGANISATION relevant sind? ** Falls ja, dann sind die im Anhang A zu beschreiben.
Anmerkung: Nur zu bearbeiten, falls bei der Szenarien-Analyse erhöhte Risiken identifiziert wurden.
|
Wählen Sie ein Element aus. |
|
Risikohöhe (gesamt Prozess) |
Wählen Sie ein Element aus. |
|
Checksumme Antworten: |
<<todo>> |
|
Aufwandsbestimmung
|
|
|
Entscheidung bezüglich Informationssicherheitsmaßnahmen |
Wählen Sie ein Element aus. |
|
Liegt Bestätigung durch IT (hinsichtlich Umsetzung der Standardmaßnahmen) bereits vor. |
Wählen Sie ein Element aus.
Anmerkung: grundsätzliche Abweichung zum Standard-Maßnahmenkatalog wurde dem ISMS-Team mitgeteilt. (Siehe Abweichungsprotokoll vom 10.02.2021) |
|
Existieren bekannte Nicht-Konformitäten (hinsichtlich Umsetzung der Standardmaßnahmen) |
Wählen Sie ein Element aus. |
Für den vorliegenden Geschäftsprozess wurde entschieden, dass Wählen Sie ein Element aus.
Ferner wurden im Rahmen des Interviews die nachfolgend gelisteten Verbesserungspotentiale identifiziert und in das KVP-Tool übertragen:
|
ID |
Titel |
Beschreibung |
Umsetzungs-zeitraum |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
In der nachfolgenden Tabelle sind weitere (als mittel oder hoch eingestufte) Informationssicherheitsrisiken des Prozesses gelistet. Die Tabelle ergänzt folglich - bei Bedarf - die in der BCS (siehe Kapitel 2) gelisteten Risiken.
|
ID |
Beschreibung des Risikos |
W |
S |
Risikohöhe |
|
R.1 |
|
Wählen Sie ein Element aus. |
Wählen Sie ein Element aus. |
Wählen Sie ein Element aus. |
|
R.2 |
|
Wählen Sie ein Element aus. |
Wählen Sie ein Element aus. |
Wählen Sie ein Element aus. |
|
|
|
|
|
|
In der nachfolgenden Tabelle sind ggfs. vorhandene Nicht-Konformitäten (hinsichtlich Umsetzung der Standard-Maßnahmen) beschrieben.
|
NK |
Beschreibung des Umsetzungsdefizit und des daraus resultierenden Risikos |
W |
S |
Risikohöhe |
|
NK.1 |
|
Wählen Sie ein Element aus. |
Wählen Sie ein Element aus. |
Wählen Sie ein Element aus. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Ein Risiko wird definiert durch eine Eintrittswahrscheinlichkeit (W) und einer potenziellen Schadenshöhe (S).
In unserer Organisation wurden hierfür die nachfolgenden Klassen eingeführt (vgl. Richtlinie zur Informationssicherheitsrisikoeinschätzung).
Eintrittswahrscheinlichkeit
(W)
|
Stufe |
W |
Beschreibung |
entspricht |
|
5 |
Sehr hoch |
wenn der Eintritt des Risikos als sehr wahrscheinlich bis sicher innerhalb von einem Jahr erwartet wird.
Beispiel: - Angriffsversuche durch Externe mittels Hacker-Tools („Skript Kiddies“), Ransomware-Angriffe - Schachstellen in IT-Applikation auf Grund eines unzureichenden Vulnerability- und Release-Prozesses. - Fehlverhalten von einzelnen Mitarbeitern trotz IS-Sensibilisierung, z. B. o Nutzung des Internet zu privaten Zwecken o Nutzung der dienstlichen E-Mail zu privaten Zwecken und u.U. deshalb erhöhte Wahrscheinlichkeit, dass der Benutzer Oper von Phishing-Attacken wird. - Unzureichende Release- und Betriebsdokumentation auf Grund eines fehlenden IT-Qualitätsmodell - Etc. |
50-75% |
|
4 |
hoch |
wenn der Eintritt des Risikos als wahrscheinlich innerhalb von einem Jahr erwartet wird.
Beispiel: - Gezielte (fortgeschrittene) Angriffsversuche durch Externe - Existenz von Systemen mit Schwachstellen auf Grund unzureichender – zentral gesteuerter - Patch-Strategie - Erfolgreich Nutzung von VPN-Zugängen durch kompromittierte Clients auf Grund fehlendem NAC. - CEO Fraud - Etc.
|
30-50% |
|
3 |
mittel |
wenn der Eintritt des Risikos als gelegentlich innerhalb von drei Jahren erwartet wird.
Beispiel: - Weggang von KnowHow, z. B. o durch Kündigung eines Mitarbeiters, o Eintritt in die Rente usw. - Störungen im IT-Betrieb (auf Grund unzureichender Dokumentation) auf Grund fehlendem QUAMO - Schachstellen in (intern erreichbaren) IT-Applikation trotz eines Vulnerability- und Release-Prozesses. - Datenabfluss durch nicht-richtlinienkonforme Entsorgung von Datenträgern auf Grund fehlender Strategie zur Entsorgung von Datenträgern. - Unzureichende Release- und Betriebsdokumentation trotz IT-Qualitätsmodell - Etc.
|
15-30% |
|
2 |
gering |
wenn der Eintritt des Risikos vorstellbar ist, aber unwahrscheinlich innerhalb von drei Jahren erwartet wird.
Beispiel: - Angriffsversuche durch Innentäter - Angriffsversuche durch Mitbewerber - Angriffsversuche durch extern beauftragte Dienstleister, z. B. mit dem Ziel „Konstruktions- oder Baupläne“ abzugreifen und an Mitbewerber zu verkaufen. - ATP-Angriffe (Advanced-Persistent-Threat) mittels noch nicht öffentlich bekannter Schwachstellen. - Störungen im IT-Betrieb (auf Grund unzureichender Dokumentation) trotz QUAMO - Verlust von Daten eines Fachbereichs durch Ransomware-Angriff und unzureichender Backup-Strategie, z. B. Sicherung auf Netzlaufwerk ohne Trennung der Credentials - Pandemie - Etc. |
3-15% |
|
1 |
Sehr gering |
wenn der Eintritt des Risikos unvorstellbar ist oder fast nie erwartet wird.
Beispiel: - Totalverlust Standort / Rechenzentrum, z. B. o durch Flugzeugabsturz o Hochwasser o Schweres Erdbeben - Atomunfall im Atomkraftwerk - Totalverlust aller Daten durch Ransomware-Angriff und unzureichender Backup-Strategie - Etc. |
0-3% |
Potenzielle Schadenshöhe (S)
|
Stufe |
Schaden |
Beschreibung |
Monetäre Angabe |
|
5 |
Sehr hoch |
Bestandsgefährdendes Risiko, das mit einer wesentlichen Wahrscheinlichkeit den Fortbestand des Unternehmens gefährdet.
Beispiel: - Totalverlust eines wichtigen Standorts / Rechenzentrums, z. B. o durch Flugzeugabsturz o Hochwasser o Schweres Erdbeben - Totalverlust aller Daten durch Ransomware-Angriff und fehlendem Backup auf Grund unzureichender Backup-Strategie.
|
t.b.d |
|
4 |
hoch |
Schwerwiegendes Risiko, das alleine den üblichen Gewinn eines Jahres aufzehren kann. Beispiel: - Totalverlust eines wichtigen Standorts / Rechenzentrums, z. B.
|
|
|
3 |
mittel |
Bedeutendes Risiko, das den Gewinn stark beeinflusst. |
|
|
2 |
gering |
Mittleres Risiko, das eine spürbare Beeinträchtigung des Gewinns bewirkt.
Beispiel: -
Verstoß gegen rechtliche Auflagen mit Strafzahlung, - Verlust aller Daten eines Fachbereich durch Ransomware-Angriff und unzureichender Backup-Strategie - Pandemie
|
|
|
1 |
Sehr gering |
Unbedeutendes Risiko, das kaum Abweichungen vom Gewinn verursacht.
Beispiel: - Nicht erfolgreiche Anriffsversuche - Verlust von vertraulichen (aber nicht streng vertraulichen) Daten im Einzelfall. |
|
Risikomatrix
|
|
S |
|||||
|
1 |
2 |
3 |
4 |
5 |
||
|
|
5 |
5 |
10 |
15 |
20 |
25 |
|
4 |
4 |
8 |
12 |
16 |
20 |
|
|
3 |
3 |
6 |
9 |
12 |
15 |
|
|
2 |
2 |
4 |
6 |
8 |
10 |
|
|
1 |
1 |
2 |
3 |
4 |
5 |
|
Anmerkung: Hohe Risiken über dem Risikoakzeptanzwert (= Risikokennzahl über 9) dürfen von einem Prozesseigner nicht eigenständig akzeptiert/getragen werden. Hier bedarf es der Zustimmung des Vorstands.
|
Risikoklasse |
Wert |
|
hohes Risiko |
|
|
mitteres Risiko |
|
|
geringes Risiko |
|
Anhang D: IT- Qualitätsmodell (QUAMO)
|
Phase |
QK-ID |
QK-Resultat (Ergebnisobjekt) |
Zweck des QK-Resultats & Link zum Template |
|
Design-Phase / Refinement |
|||
|
|
QK-Plan-1 |
Projekt-Voranmeldung
|
Über die Projekt-Voranmeldung werden komplett neue Vorhaben oder größere Changes, für die extra Budget beantragt werden muss, initial beantragt.
Hinweis: Die Rückmeldung enthält eine Entscheidung, ob Vorhaben genehmigt wurden oder nicht.
Eine Genehmigung impliziert die Erstellung bzw. ggfs. Aktualisierung der QK-Resultate der Plan-Phase, inkl. entsprechender Bestätigungen durch den ISB und DSB (über die BCS oder Formblatt Datenschutz).
Hierfür wird das Budget, für die Erstellung der QK-Resultate der Plan-Phase, gemäß kalkulierte Aufwand in der Projektplanung, freigegeben.
Erst wenn alle Nachweise der Plan-Phase vorliegen, darf das Projekt/Vorhaben final genehmigt und das vollständig beantragte Budget freigegeben werden. |
|
|
QK-Plan-2 |
BCS |
Bereits in der Planphase muss ein erster Entwurf der BCS mit dem ISB abgestimmt werden. Eventuell noch nicht bekannte Details, wie z. B. der spätere Betriebsdienstleister, werden dann im Rahmen des Phase-Gates RTP aktualisiert.
Die 1. Freigabe des ISB gilt nur für die Plan-Phase. |
|
|
QK-Plan-2 |
Schnittstellendokumentation („Grobentwurf“) |
effiziente Abstimmung, (Weiter-)Entwicklung, Wartung und Betrieb des Datenaustausches |
|
|
QK-Plan-3 |
Beteiligung Betriebsrat (Formblatt) |
Mitbestimmung/Kontrolle des Sozialpartners bei Möglichkeiten zur Verhaltens- und Leistungskontrolle (insbesondere bei personenbezogenen Daten)
Zustimmung des Betriebsrats wird zum Rollout eines Systems, das der Mitbestimmung unterliegt, benötigt.
Hinweis: Fehlanzeige erforderlich, weshalb der Betriebsrat immer zumindest angefragt werden muss. |
|
|
|
Datenschutzvoranmeldung
|
Erfüllung der Verpflichtung zur Führung des Verzeichnisses aller personenbezogenen Verarbeitungstätigkeiten gemäß Artikel 30 EU Datenschutz-Grundverordnung (EU DSGVO) und Sicherstellung der Datenschutzkonformität
Hinweis: Im der Design bzw. Refinement-Phase muss die Voranmeldung beim Datenschutz erfolgen.
Im Diaglog mit dem Datenschutz wird entschieden, ob weitere Maßnahmen, wie z.B. Erstellung „Löschkonzept“ notwendig. Die Voranmeldung muss immer erfolgen, auch wenn keine personenbezogene Daten verarbeitet werden. Dies wird dann entsprechend vom DSB bestätigt auf dem Formblatt.
Das Formblatt muss im Rahmen der betrieblichen Abnahme nochmal bestätigt werden, so dass sichergestellt ist, dass sich die Rahmenbedingungen nicht während des Release-Prozesses verändert haben und, z.B. auf Grund neuer, zunächst nicht geplanter Funktionen verändert hat (siehe Datenschutzbewertung).
Hinweis: Die Bewertung findet üblicherweise auf Basis einer „Demonstration der fertigen Lösung“ sowie ggfs. durch Prüfung der ggfs. zu erstellenden Dokumentation statt.
Im Nachgang bestätigt der DSB die Datenschutzbewertung und kreuzt - sofern weiterhin keine Datenschutzdokumentation zu erstellen ist oder - keine Mängel in der zu erstellenden Dokumentation zu finden war
die „Freigabe“ an.
Falls Mängel vorliegen und/oder sich – auf Grund von GAPs zwischen Planung und Realisierung – doch die Notwendigkeit weiterer Dokumentation ergibt, obliegt es dem DSB zu entscheiden, ob er die „Freigabe mit Auflagen“ erteilt oder „keine Freigabe“ erteilt.
Die „Freigabe mit Auflagen“ kann z. B. die Erstellung der Dokumentation im Nachgang sein.
|
|
RTP-Phase |
|||
|
|
|
|
|
|
MUSS |
|
Abschließende Datenschutzbewertung |
Zum Übergang RTP muss ein aktuelles Statement des DSB eingeholt werden, in dem die – auf Basis der Projektpläne getroffenen - Entscheidungen (Datenschutzvoranmeldung) erneut überprüft werden, ob sie noch angemessen für die realisierte Lösung ist.
Hinweis: Die Bewertung findet üblicherweise auf Basis einer „Demonstration der fertigen Lösung“ sowie ggfs. durch Prüfung der ggfs. zu erstellenden Dokumentation statt.
Im Nachgang bestätigt der DSB die Datenschutzbewertung und kreuzt - sofern weiterhin keine Datenschutzdokumentation zu erstellen ist oder - keine Mängel in der zu erstellenden Dokumentation zu finden war
die „Freigabe“ an.
Falls Mängel vorliegen und/oder sich – auf Grund von GAPs zwischen Planung und Realisierung – doch die Notwendigkeit weiterer Dokumentation ergibt, obliegt es dem DSB zu entscheiden, ob er die „Freigabe mit Auflagen“ erteilt oder „keine Freigabe“ erteilt.
Die „Freigabe mit Auflagen“ kann z. B. die Erstellung der Dokumentation im Nachgang sein. |
|
MUSS/KANN (je nach Entscheidung des DSB im Formblatt) |
|
Löschkonzept |
Erfüllung der Löschanforderungen für personenbezogene Verarbeitungstätigkeiten bzw. IT-Systeme |
|
|
QK-RTP-1 |
Berechtigungskonzept |
Die von der Anwendung bereitgestellten Rollen sowie die damit verknüpften Rechte müssen in einem technischen Berechtigungskonzept beschrieben sein.
Ergänzt wird das Konzept durch die Beschreibung der für den Betrieb notwendigen User/Rechte und Rollen, z. B. technische User für die DB, Schnittstellen-User etc.
Darüber hinaus müssen die Workflows zur Vergabe, Entzug, regemäßige Re-Zertifizierung („Soll-Ist-Ableich“) für die fachlichen Rollen der neuen Applikation beschrieben sein. |
|
|
|
Ergebnis Prüfung Open Source License Compliance |
Einhaltung der auf dem Einsatz der Open Source basierenden Lizenzpflichten |
|
|
QK-RTP-1 |
Betriebsdokumentation sowie ggs. Wartungsdokumentation |
Befähigung des Betriebsdienstleisters zur eigenständigen Erbringung der beauftragten Betriebsdienstleistung. Die Betriebsdokumentation wird – zusammen mit dem späteren Betriebs- und Wartungsdienstleister - noch im Rahmen des RTP erstellt bzw. für das aktuelle Release bei Bedarf aktualisiert und bei der betrieblichen Abnahme geprüft. |
|
|
|
Wartungsdokumentation |
Befähigung des Wartungsdienstleisters zur Gewährleistung der Wartung des Produktivbetriebs.
Hinweis. Dokument ist nur zu erstellen, wenn der Betrieb der Basissysteme und die Wartung der darauf installierten Applikationen und/oder die Wartung der fachlichen Anwendung durch unterschiedliche Organisationen erfolgt. |
|
|
|
Supportdokumentation |
Befähigung des Service Desks zur Gewährleistung des Supports des Produktivbetriebs unter Minimierung von Ausfallzeiten.
Hinweis. Dokument ist nur zu erstellen, wenn der Support durch eine andere Organisation als der fachliche und technische Betrieb erfolgt. |
|
|
QK-RTP-2 |
Build- und Runtime-Umgebungskonfiguration |
Implementierung des IT-Systems. Die Dokumentation wird – zusammen mit dem späteren Betriebs- und Wartungsdienstleister - noch im Rahmen des RTP erstellt bzw. für das aktuelle Release bei Bedarf aktualisiert und bei der betrieblichen Abnahme geprüft. |
|
MUSS/KANN (je nach Entscheidung in BCS) |
|
IT-Sicherheitskonzeption bzw. GAP-Analyse Standardmaßnahmen |
Identifizierung und Dokumentation der Informationsrisiken, Informationsaspekte und Schutzanforderungen des IT-Systems zum Erreichen eines akzeptablen Risikoniveaus |
|
|
|
|
|
|
|
|
Abnahmeerklärung System |
Dokumentation der Abnahmetests des IT-Systems sowie darauf
basierende Empfehlung des Testmanagers zur Abnahme des Systems; Dokumentation
der Systemabnahme durch den Projektleiter. |
|
|
|
|
|
|
|
|
Systemarchitektur |
Dokumentation der Systemarchitektur |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Anhang E: Template GAP-Analyse „Umsetzung Standard-Maßnahmen (IT-Ebene)“
Dieser Anhang kann zur Dokumentation der Umsetzungsstatus der Standardmaßnahmen für die hier betrachteten IT-Systeme (inkl. dem jeweiligen Applikations- und Softwarelayer) verwendet werden.
|
ID |
Titel der Maßnahme |
Beschreibung |
Kontrollfrage mit Antwortmöglichkeit |
||||||||||||||||||||
|
1. Sicherheitsaspekte bei der Schaffung/Planung der IT-Infrastruktur sowie beim späteren Betrieb
|
|
|
|||||||||||||||||||||
|
1.1 |
Bestimmung des Schutzbedarfes der IT-Systems |
Alle schützenswerte - im IT-System verarbeiteten - Informationen sind vom Verantwortlichen hinsichtlich der Schutzziele - „Vertraulichkeit“, - „Integrität“ und - „Verfügbarkeit“ zu klassifizieren. Um die Maßnahme zu erfüllen ist für den Geschäftsprozess, welcher durch das IT-System unterstützt wird, eine BCS auszufüllen. Das IT-System erbt den dort dokumentierten Schutzbedarf der Informationen. Der Prozesseigner muss dem IT-Verantwortlichen den Schutzbedarf mitteilen. Anmerkung für IT-Verantwortliche: Sofern das System mehrere Geschäftsprozesse unterstützt, erbt es den Schutzbedarf des schützenwürdigsten Systems. |
ITSM-1.1: Ist der Schutzbedarf der im IT-System bzw. in den IT-Applikationen / Anwendungssoftware verarbeiteten Informationen dokumentiert? Wählen Sie ein Element aus.
Hinweis: Beantwortung
ausschließlich mit Freitext, ohne Verwendung des DropDown-Auswahlmenüs ist nicht
zulässig und wird als „nicht bearbeitet“ inkl.
„Schulungsbedarf erkannt“) bewertet! Dies gilt für alle nachfolgenden
Antworten.
|
||||||||||||||||||||
|
1.2 |
Identifikation und Befolgung der gesetzlichen Anforderungen und der wesentlichen Regelungen |
Die wesentlichen Gesetze und Regularien und deren Anforderungen sind für das IT-System zu identifizieren und zu prüfen. Dies kann in der BCS des Geschäftsprozesses erfolgen, welcher durch das IT-System unterstützt wird. Die
Prüfung beinhaltet neben gesetzlichen und externen vertraglichen Vorgaben
(z. B. GoBD, EU DSGVO, PCI-DSS etc.) auch die Identifikation der
wesentlichen Regeln, welche sich aus unternehmensinternen Vorgaben ergeben
(z. B. IS-Richtlinien der F. X. MEILLER Fahrzeug- und Maschinenfabrik –
GmbH & Co KG ). Der Prozesseigner muss dem IT Verantwortlichen ggfs. die anzuwendenden Regelungen kommunizieren, so dass diese dort Berücksichtigung finden. |
ITSM-1.2.1 Wurden die - gesetzlichen und - regulatorischen Anforderungen sowie alle weiteren - internen (z. B. IS-Richtlinien) und - externen (z. B. Anforderungen aus Verträgen mit Kunden) Anforderungen identifiziert und etwaige Maßnahmen, wie z. B. Verschlüsselung von Kommunikationsverbindungen etc. abgeleitet? Wurden die Ergebnisse der Analyse dokumentiert? Wählen Sie ein Element aus.
ITSM-1.2.2 Wurden den IT-Dienstleistern eventuell einzuhaltende Anforderungen, die sich z. B. aus Vorgaben für das Business ableiten, kommuniziert? Wählen Sie ein Element aus.
|
||||||||||||||||||||
|
1.3 |
Erstellung eines Betriebskonzeptes bzw. einer Betriebsdokumentation |
Für jedes IT-System muss es ein Betriebskonzept bzw. eine Betriebsdokumentation geben, aus der ersichtlich wird, wer im Rahmen des Betriebs für die Betriebsprozesse verantwortlich ist. Dies umfasst konkret: - Schutzbedarf des Systems -
System-Dokumentation
- Patch und Schwachstellenmanagement (für alle Komponenten) - Log-Auswertung - Datensicherung
- Release-to-Production-Prozess - Vorfall-Management (z. B. Security Incident im IT-System) |
ITSM-1.3.1 Gibt es ein zwischen Prozesseigner und IT abgestimmtes Betriebshandbuch für das IT-System bzw. für die IT-Systeme? Wählen Sie ein Element aus.
ITSM-1.3.2: Sind für den Betrieb der Basissysteme und zur Wartung bzw. zum Support der Applikationen und/oder Software unterschiedliche Dienstleister im Einsatz? Wenn ja, wurden mit dem Wartungs- und Supportdienstleistern (WDL/SDL) entsprechende Vereinbarungen, in Form eines Handbuches dokumentiert? Wählen Sie ein Element aus.
ITSM-1.3.3: Gibt es eine vollständige und aktuelle System-Dokumentation? Wählen Sie ein Element aus.
ITSM-1.3.4 Ist das Patch und Schwachstellenmanagement (für alle Komponenten) geklärt, also sowohl für die Betriebssystem-Ebene als auch für die eingesetzten IT-Applikationen UND die Software (einschließlich darin verwendeter Libraries)? Wählen Sie ein Element aus.
ITSM-1.3.5 Wurde zwischen Fachseite/Kunde und dem BDL/WDL die Art und der Umfang der Protokollierung geklärt? Wählen Sie ein Element aus.
ITSM-1.3.6 Wurde zwischen Fachseite/Kunde und dem BDL/WDL die Art und der Umfang des Betriebs- und Anwendungsmonitoring geklärt und die Vereinbarungen entsprechend dokumentiert? Wählen Sie ein Element aus.
ITSM-1.3.7 Wurde zwischen Fachseite/Kunde und dem BDL/WDL die Art und der Umfang der Datensicherung geklärt und die Vereinbarungen entsprechend dokumentiert? Wählen Sie ein Element aus.
ITSM-1.3.8 Wurde der Restore der Datensicherung erfolgreich getestet? Wählen Sie ein Element aus.
ITSM-1.3.9 Umfasst die Betriebsdokumentation einen Verweis auf die Vereinbarungen zum Change-Management (inkl. Verantwortlichkeiten) und den einzuhaltenden RTP-Prozess? Wählen Sie ein Element aus.
ITSM-1.3.10 Umfasst die Betriebshandbuch einen Verweis auf den Prozess zur Bewältigung von Sicherheitsvorfällen inklusive der Dokumentation der Verantwortlichkeiten hinsichtlich Eskalation und Meldewege? Wählen Sie ein Element aus.
|
||||||||||||||||||||
|
1.4 |
Dokumentation und Pflege der Systemkonfiguration |
Eine Dokumentation des Systems und seiner Konfiguration muss erstellt und auf dem aktuellsten Stand gehalten werden. Die Dokumentation sollte unter anderem Informationen zu folgenden Punkten enthalten: - Konfiguration, - physische Netzwerkstruktur, - logische Netzwerkkonfiguration, - Schnittstellen - Zugriffsrechte von Benutzern, - Backupstatus etc. Des Weiteren muss für jedes IT-System dokumentiert werden, welche Applikationen in welcher Version verwendet werden und wie die Dateistrukturen angelegt sind. Die Dokumentation muss so aufbewahrt werden, dass sie jederzeit, insbesondere im Falle eines Notfalls, direkt verfügbar und dabei gleichzeitig vor unbefugten Zugriffen geschützt ist. Die Systemdokumentation muss alle Aktivitäten enthalten, die zum Starten oder Herunterfahren des IT-Systems notwendig sind. |
Siehe ITSM-1.3.3. |
||||||||||||||||||||
|
1.5 |
Erstellung von Konzepten zum Berechtigungsmanagement |
Jedem Benutzer ist eine eindeutige Benutzerkennung zuzuordnen, so dass Tätigkeiten nachträglich zur verantwortlichen Person zurückverfolgt werden können. Im Rahmen des Berechtigungsmanagements müssen technische und organisatorische Verfahren zur Vergabe und zum Entzug von Zugriffsrechten (optimalerweise auf Rollenbasis) etabliert werden. Um die unkontrollierte Vergabe von Zugriffsberechtigungen zu vermeiden, müssen hierbei insbesondere die Prozesse zur Beantragung, zur Vergabe sowie zum Entzug von Rechten dokumentiert und in der Praxis akzeptiert sein. Bzgl. der Löschung von Accounts ist sicher zu stellen, dass ein Informationsfluss gewährleistet ist und dass die Löschung bei der Beendigung von Verträgen oder Dienstverhältnissen zeitnah erfolgt. Hierbei empfiehlt es sich, den Account zunächst zu deaktivieren und erst nach ca. 6 Monaten vollständig zu löschen. Um zu verhindern, dass trotz der etablierten Prozesse nicht benötigte Berechtigungen bestehen bleiben, müssen Zugriffsberechtigungen in regelmäßigen Abständen hinsichtlich ungenutzter oder veralteter Accounts oder zu freizügig vergebener Zugriffsrechte überprüft werden. |
ITSM-1.5.1: Gibt es sowohl für die User/Rollen der IT-Ebene, also - User am Betriebssystem - User in Zusatzsoftware, wie z. B. Middleware oder Oracle Datenbank, als auch für die - User der Fachanwendung ein Berechtigungskonzept? Wählen Sie ein Element aus.
ITSM-1.5.2: Sind in dem Kontext die Prozesse - zur Beantragung, - zur Vergabe sowie - zum Entzug von Rechten dokumentiert? Wählen Sie ein Element aus.
ITSM-1.5.3: Gibt es jeweils eine Beschreibung des einzuhaltenden Workflows samt der erforderlichen Genehmigungswege? Wählen Sie ein Element aus.
ITSM-1.5.4: Sind technische und organisatorische Verfahren zur Unterstützung der Workflows hinsichtlich Vergabe und zum Entzug von Zugriffsrechten etabliert? 0- unbearbeitet
ITSM-1.5.5: Ist jedem Benutzer bzw. Administrator eine eindeutige Benutzerkennung zugeordnet und ist sichergestellt, dass es keine Gruppenaccounts gibt? 0- unbearbeitet
ITSM-1.5.6: Existiert ein dokumentierter Prozess, welcher sicherstellt, dass vorhandene Accounts hinsichtlich veralteter Einträge regelmäßig überprüft werden? 0- unbearbeitet
Hinweis: Bitte schreiben sie ggfs. im Freitext, wer für die Prüfung verantwortlich ist und wie der Nachweis der Prüfung erbracht werden kann und wo die Ergebnisse der Prüfung dokumentiert sind! |
||||||||||||||||||||
|
1.6 |
Sichere Authentifizierung |
Für den Zugriff auf MEILLER-Systeme muss die MEILLER-Passwortrichtlinie eingehalten werden. Wenn mittels des Accounts auf streng vertrauliche Daten oder auf geschäftskritische Prozesse zugegriffen werden kann, dann ist eine Zwei-Faktor-Authentifizierung (2FA) einzuführen. |
ITSM-1.6.1: Ist die Passwortrichtlinie unserer Organisation für alle durch den IT-Betrieb genutzten Accounts umgesetzt? 0- unbearbeitet
ITSM-1.6.2: Ist die Passwortrichtlinie unserer Organisation für alle fachlichen Accounts umgesetzt? 0- unbearbeitet
ITSM-1.6.3: Ist eine 2FA notwendig und wenn ja, ist diese vorhanden? 0- unbearbeitet
ITSM-1.6.4: Gibt es einen sicheren PW-Reset-Prozess? Ist sichergestellt, dass keine Passwörter per Mail verschickt werden? 0- unbearbeitet
|
||||||||||||||||||||
|
1.7 |
Definition von Test- und Release Prozessen (für Eigenentwicklungen) |
Für das effektive und angemessene Testen ist ein Konzept zu entwickeln. Die Prozesse von der Entwicklung über das Testen hin zur Betriebssetzung („Freigabeprozess“) sind entsprechend anzupassen und im Betriebshandbuch zu dokumentieren. Das Testkonzept sollte hier auch anwendungsspezifische Testfälle umfassen, so dass auch eine unkorrekte Verarbeitung von Daten innerhalb der Applikation erkannt werden kann. Ferner sollte eine Umgebung eingerichtet werden, die lediglich für Testzwecke genutzt wird. Sofern in dieser Umgebung mit Produktivdaten gearbeitet wird, müssen dort dieselben Sicherheitsmaßnahmen greifen wie in der Produktivumgebung. Dies gilt auch, wenn es sich um veraltete Wirkdaten handelt. Testdaten mit Personenbezug müssen allerdings immer anonymisiert werden. Die Umgebungen zur Entwicklung, zum Test und zum operativen Betrieb der Systeme müssen voneinander getrennt werden. |
ITSM-1.7.1: Existieren dokumentierte Test- und Release-Prozesse? 0 - unbearbeitet
ITSM-1.7.2: Existiert eine Testumgebung? Werden in der Testumgebung personenbezogene Daten nur anonymisiert verwendet, so dass kein Personenbezug mehr gegeben ist? 0 - unbearbeitet
ITSM-1.7.3: Ist sichergestellt, dass bei der Testumgebung dieselben Sicherheitsmaßnahmen wie in der Produktivumgebung verwendet werden – sofern mit vertraulichen Echtdaten gearbeitet wird? 0 - unbearbeitet
|
||||||||||||||||||||
|
1.8 |
Sicherheitsüberprüfung von im Internet erreichbaren IT-Systemen vor Roll-out / Going live (Eigenentwicklungen) |
Neue IT-Systeme sollten sich vor Going live einer technischen Sicherheitsüberprüfung unterziehen. Dies kann entweder mittels einer Quellcodeanalyse oder mittels eines Penetrationstestes erfolgen. Für Projekte / IT-Systeme mit Schnittstellen in öffentliche Netze ist mindestens eine der Überprüfungen Pflicht. |
ITSM-1.8.1: Hat eine technische Sicherheitsüberprüfung vor dem Roll-out stattgefunden (Penetrationstest / Quellcodeanalyse)? 0 - unbearbeitet
|
||||||||||||||||||||
|
1.9 |
Festlegung von Verantwortlichkeiten, Aufgaben und Meldewege bei Sicherheitsvorfällen |
Die Verantwortlichkeiten, Aufgaben und Meldewege bei Sicherheitsvorfällen müssen definiert sein und allen beteiligten Mitarbeitern kommuniziert werden.
|
Siehe hierzu ITSM-1.3.10 |
||||||||||||||||||||
|
2. Sicherheitsaspekte bei der Zusammenarbeit mit externen Dienstleistern
|
|
|
|||||||||||||||||||||
|
2.1 |
Erstellung von (bzw. Überprüfung der) vertraglichen Regelungen / Vereinbarungen mit externen Firmen |
Bei der Zusammenarbeit mit externen Partnern (z. B. Betrieb, Softwareentwicklung) müssen die vertraglichen Regelungen genau überprüft werden. Neben den operativ notwendigen Punkten müssen durch eine vereinbarung auch Vorgaben hinsichtlich Informationssicherheit geregelt werden. Die Vereinbarung sollte eine Prüfung der externen Infrastruktur vorsehen und MEILLER die Befugnis einräumen, sich jederzeit über den aktuellen Stand der Sicherheit zu erkundigen bzw. die ordnungsgemäße Umsetzung von Sicherheitsmaßnahmen zu überprüfen. Dies könnte z.B. durch eine entsprechende Zertifizierung (z.B. ISO 27001, TISAX), durch Audits oder durch Penetrationstests erfolgen. Weitreichende
Änderungen an der Infrastruktur muss MEILLER immer mitgeteilt werden.
Darüber hinaus ist in der Vereinbarung die
Einbeziehung von Unterauftragnehmern auf Seiten des externen Dienstleisters
zu regeln. |
ITSM-2.1.1: Sind in Verträgen mit Dienstleistern auch Vorgaben hinsichtlich Informationssicherheit geregelt? Wurden alle beteiligten Dienstleister auf die Informations-sicherheits-Richtlinien und -Vorgaben verpflichtet? Existiert eine Vereinbarung für die „Datenverarbeitung im Auftrag“? 0 - unbearbeitet
ITSM-2.1.2: Ist vertraglich geregelt, dass die o.g. Anforderungen an etwaige Subunternehmer weitergegeben werden? 0 - unbearbeitet
|
||||||||||||||||||||
|
2.2 |
Entwicklung von Alternativplänen bei Ausfall der externen Dienstleister |
Es müssen Alternativpläne für den Ausfall der externen Dienstleister (Betrieb / Softwareentwicklung) erstellt werden, so dass ein Betrieb des Verfahrens gemäß den eigenen Anforderungen gewährleistet ist. Hierzu gehört unter anderem der Abschluss einer Escrow-Vereinbarung bei Nutzung von extern entwickelter Software, um im Bedarfsfall den Zugriff auf den Source-Code zu ermöglichen.
|
ITSM-2.2.1: Wurden Alternativplänen bei Ausfall eines externen Dienstleisters erstellt? Gibt es z.B. einen Escrow-Vertrag?
0 - unbearbeitet
|
||||||||||||||||||||
|
3. Physische Sicherheit
|
|
|
|||||||||||||||||||||
|
3.1 |
Schutz der Applikation vor physischen Bedrohungen |
Die physischen Bedrohungen und der unberechtigte Zugang zu IT-Systemen sind durch geeignete Maßnahmen (Brandverhinderung, Wasserschutz etc.) zu minimieren bzw. zu verhindern. Optimalerweise kann der Rechenzentrumsbetrieb ein entsprechendes Sicherheitszertifikat (z.B. nach ISO 27001) nachweisen. |
ITSM-3.1.1: Wurden geeignete Maßnahmen zum Schutz gegen physische Bedrohungen und unberechtigten Zugang ergriffen? 0 - unbearbeitet
|
||||||||||||||||||||
|
4. Applikations- und Netzwerksicherheit |
|
|
|||||||||||||||||||||
|
4.1 |
Härtung der IT-Systeme und Anwendungen |
Unter Härten versteht man in der IT, die Sicherheit eines IT-Systems zu erhöhen, indem nur dedizierte Software installiert und nur Dienste eingesetzt werden, die zum einen für den Betrieb des IT-Systems notwendig sind und für die zum anderen unter Sicherheitsaspekten von einem korrekten Ablauf ausgegangen werden kann. Sämtliche Prozesse sind hierbei darauf zu überprüfen, dass ihnen nur die für die beabsichtigte Ausführung zwingend erforderlichen Rechte zugewiesen sind. Für jeden Server muss eine Liste der aktivierten Dienste existieren. In einer weiteren Spalte sollte dokumentiert sein, weshalb und zu welchem Zwecke der Dienst benötigt wird. Ferner sind Standardbenutzerkonten von Betriebs- und Anwendungssystemen grundsätzlich umzubenennen oder ihnen jegliche Rechte zu entziehen. Netzwerkprotokolle sowie Ports sind zu beschränken. Freigaben auf IT-Systemressourcen sind einzuschränken. Eventuelle Schwachstellen sind durch verfügbare Patches zu beseitigen, das IT-System sollte den neuesten Patchstand bzw. die neueste Versionierung besitzen. |
ITSM-4.1.1: Wurden die im Kontext des Verfahrens eingesetzten Server speziell gehärtet? Existiert ein dokumentierter Härtungsguide? 0 - unbearbeitet
ITSM-4.1.2: Existiert eine Liste aller aktivierten Dienste pro Server und warum diese benötigt werden und welche Rechte notwendig sind? Laufen nur die benötigten Dienste? 0 - unbearbeitet
ITSM-4.1.3: Laufen die Dienste jeweils unter eigenen IT-Systemkonten mit minimalen Rechten? 0 - unbearbeitet
|
||||||||||||||||||||
|
4.2 |
Sichere Verwendung von Zusatztools auf den Servern |
Sofern Zusatzsoftware auf den Servern betrieben wird, ist dies im Betriebshandbuch bzw. in der Systemdokumentation zu dokumentieren. Die Software ist in den Patch Management-Prozess zu integrieren. Ferner sollte die Software mit eigenen (minimalen) Userrechten betrieben werden. |
ITSM-4.2.1: Gibt es für jedes IT-System eine Übersicht, welche Dienste bzw. welche Zusatzsoftware in welcher Version darauf betrieben werden? 0 - unbearbeitet
ITSM-4.2.2: Ist Zusatzsoftware im Patch Management-Prozess sowie im Schwachstellenmanagement integriert? 0 - unbearbeitet
|
||||||||||||||||||||
|
4.3 |
Verschlüsselung von streng vertraulichen Informationen |
Streng vertrauliche Informationen <<unserer Organisation >> dürfen nur verschlüsselt abgespeichert werden. Dies gilt sowohl für die Speicherung in Datenbanken als auch im Dateisystem oder im Backup. |
ITSM-4.3.1: Ist sichergestellt, dass streng vertrauliche Informationen ausschließlich verschlüsselt abgespeichert werden? 0 - unbearbeitet
ITSM-4.3.2: Gilt das auch für die Datensicherung? 0 - unbearbeitet
|
||||||||||||||||||||
|
4.4 |
Sicherstellung von ausreichender Verarbeitungsleistung |
Die IT-Systeme müssen den Sicherheitsanforderungen und Klassifizierungen entsprechend performant implementiert sein, um die gesetzten Ziele bezüglich Antwortzeiten und Kapazitäten ausreichend erfüllen zu können. Dies bedingt auch eine entsprechende Auslegung der eingesetzten Netzwerkkomponenten und -verbindungen. |
ITSM-4.4.1: Gibt es eine Kapazitätsplanung für das IT-System? 0 - unbearbeitet
|
||||||||||||||||||||
|
4.5 |
Auswahl einer geeigneten Virenschutz-Strategie |
Insbesondere Verzeichnisse zum Datenaustausch müssen immer mittels eines Virenschutzprogramms überprüft werden. Darüber hinaus muss sichergestellt sein, dass das Virenschutzprogramm immer aktuell ist. |
ITSM-4.5.1: Sind die Server mit einem Virenschutz geschützt oder findet alternativ eine Prüfung des Datenstroms hinsichtlich Malware statt? 0 - unbearbeitet
|
||||||||||||||||||||
|
4.6 |
Segmentierung des Netzwerkes sowie Trennung der Applikationsschichten |
Das Netzwerk ist sinnvoll zu segmentieren. So sollte z.B. eine Aufteilung der Software-Schichten auf eigene Netzwerksegmente erfolgen. Ferner sollten Applikationsschichten getrennt werden, so dass pro Server lediglich ein zentraler Dienst betrieben wird. In der Praxis hat sich eine 3-tier-Architektur bewährt, welche neben einer Präsentations- und Verarbeitungszone zusätzlich eine Persistenzzone vorsieht. Optimalerweise wird hierbei zwischen jeder Zone ein IP-Filter (Firewall) betrieben. Die Segmentierung kann auch mittels Container realisiert werden. |
ITSM-4.6.1: Wurden die einzelnen Software-Schichten auf eigene Netzwerksegmente / Container verteilt? 0 - unbearbeitet
|
||||||||||||||||||||
|
4.7 |
Absicherung von Kommunikationswegen und Schnittstellen |
Für das IT-System müssen alle Schnittstellen dokumentiert sein. Für jede Schnittstelle (egal ob IT-basiert oder manuell) ist aufzuzeigen, welche Daten über die Schnittstelle im- bzw. exportiert werden und wie diese klassifiziert sind. Kommunikationswege und Schnittstellen sind generell durch - Einschränkung der Kommunikation, - durch Authentisierung der Kommunikationspartner bzw. allgemein durch die Kontrolle des Datenflusses abzusichern. Als vertraulich eingestufte Informationen sind hierbei immer zu verschlüsseln, wenn sie das gesicherte Netzwerk (CN) der F. X. MEILLER Fahrzeug- und Maschinenfabrik – GmbH & Co KG verlassen. Als streng vertraulich eingestufte Informationen sind selbst bei einer Übertragung im lokalen Netzwerk zu schützen. Bei der gegenseitigen Authentisierung empfiehlt sich der Einsatz von starken Mechanismen, wie z.B. von Zertifikaten. |
ITSM-4.7.1: Existiert eine Liste der IP-basierten Schnittstellen / Kommunikationsverbindungen (KV) des hier betrachteten Systems/GP? Enthält die Liste pro Kommunikationsverbindung eine Info … 1. .. über die genutzte Schnittstelle, z.B. Benennung des Schnittstellen Providers (Server) und der – die Schnittstelle nutzenden – Clients (Consumer). 2. .. über die Kommunikationspartner (KP) und deren Netzanbindung, inkl. Beschreibung des Kommunikationsaufbau, also z. B. wer die Verbindung initiiert und wie sich die KP gegenseitig authentifizieren. 3. .. über die jeweils in der KV übertragen Daten (inkl. Verweis auf SBF, CIA), 4. … über das verwendete technische Protokoll sowie ggfs 5. über die Absicherung der Verbindung, z. B. Verschlüsselung, Einsatz Loadbalancer, Einsatz Signaturen zur Authentifizierung etc. 0 - unbearbeitet
ITSM-4.7.2: Sind sämtliche Kommunikationswege und Schnittstellen in Bezug auf die Einstufung der zu transportierenden Daten abgesichert? 0 - unbearbeitet
ITSM-4.7.3: Ist sichergestellt, dass z. B. über E-Mail keine vertraulichen Daten / Reports unverschlüsselt kommuniziert werden? 0 - unbearbeitet
ITSM-4.7.4: Erfolgt eine Authentisierung der Kommunikationspartner? 0 - unbearbeitet
|
||||||||||||||||||||
|
5. Sicherheitsaspekte bei der Administration der IT-Infrastruktur
|
|
|
|||||||||||||||||||||
|
5.1 |
Etablieren eines Patch Management |
Es ist ein Patch Management zu etablieren, welches in die Test- und Release Prozesse einzubinden ist. Das Patch Management ist in der Betriebsdokumentation zu beschreiben. Es muss sowohl für die OS-Ebene als auch für die Applikationsebene (inkl. evtl. Libraries) geregelt sein, wer für die Pflege der Software verantwortlich ist. |
Siehe ITSM-1.3.4. |
||||||||||||||||||||
|
5.2 |
Regelmäßige Untersuchung des Informationsverbundes auf neu bekannt gewordene Sicherheitsprobleme |
Die eingesetzten IT-Systeme sind regelmäßig zu überprüfen, ob Sicherheitsprobleme öffentlich bekannt gemacht wurden. Quellen zur Informationsbeschaffung können sein: - das Bundesamt für Sicherheit in der Informationstechnik, - Computer Emergency response teams (CERTs), - Hersteller und Distributoren von Software und Betriebssystemen, - Hersteller-, IT-System- oder Security-spezifische Webseiten, - Mailinglisten oder Newsgroups, - Automatisierte Schwachstellenscanner Sofern ein Sicherheitsproblem identifiziert wurde, sind die im Advisory vorgeschlagenen Maßnahmen zu ergreifen (z. B. Einspielen eines Patches). Es muss sowohl für die OS-Ebene als auch für die Applikationsebene (inkl. evtl. Libraries) geregelt sein, wer für die Überwachung der Software verantwortlich ist. |
Siehe ITSM-1.3.4:
|
||||||||||||||||||||
|
5.3 |
Datensicherung /Archivierung |
Die regelmäßige Sicherung von Daten ist die Voraussetzung, dass bei Verarbeitungsfehlern oder -störungen durch Zugriff auf den letzten Datenbestand eine Fortführung der Verarbeitung mit nur relativ geringen Verzögerungen möglich ist. Deshalb sind grundsätzlich alle Daten (gemäß Datensicherungskonzept) in regelmäßigen Abständen zu sichern. Das Konzept sollte hierbei auch Vorgaben zum regelmäßigen Test der Datensicherungen machen, so dass sichergestellt ist, dass das „Zurückspielen“ des Backups im Ernstfall auch ordnungsgemäß funktioniert. Über die eigentliche Datensicherung hinaus muss geklärt werden, ob eine Archivierung von Daten notwendig ist. Falls ja, dann ist dies entsprechend zu beauftragen und durchzuführen. |
Siehe ITSM-1.3.7 |
||||||||||||||||||||
|
5.4 |
Protokollierung sowie Kontrolle der Protokolldateien |
Die Protokollierung der IT-Systeme muss gemäß Protokollierungskonzept erfolgen. Die Protokollierung sicherheitsrelevanter Ereignisse ist als Sicherheitsmaßnahme allerdings nur wirksam, wenn die protokollierten Daten in regelmäßigen Abständen durch einen Revisor oder durch ein dafür geeignetes Tool ausgewertet werden. Ist es personell oder technisch nicht möglich, die Rolle eines unabhängigen Revisors für Protokolldateien zu implementieren, kann ihre Auswertung auch durch den Administrator erfolgen. Für diesen Fall bleibt zu beachten, dass damit eine Kontrolle der Tätigkeiten des Administrators nur schwer möglich ist. |
Siehe ITSM-1.3.5. |
||||||||||||||||||||
|
6. Sicherheitsaspekte bei der Außerbetriebnahme der IT-Infrastruktur und Entsorgung von Informationen
|
|
|
|||||||||||||||||||||
|
6.1 |
Sichere Entsorgung von Medien, welche vertraulichen Informationen enthalten |
Alle Medien (Datenträger, papiergebundene Informationen etc.), welche vertrauliche Informationen umfassen, sind gemäß den Anforderungen des Bundesamtes für Informationssicherheit (BSI) zu vernichten. |
ITSM-7.1.1: Werden alle Datenträger ggfs. über einen sichereren Weg entsorgt? 0 - unbearbeitet
ITSM-7.1.2: Werden papiergebundene Informationen über die zur Verfügung stehenden Datenschutztonnen entsorgt? 0 - unbearbeitet
|
||||||||||||||||||||