PTA_ITRevision_ITSicherheit_UEberblick.pdf - PTA GmbH
PTA_ITRevision_ITSicherheit_UEberblick.pdf - PTA GmbH
PTA_ITRevision_ITSicherheit_UEberblick.pdf - PTA GmbH
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
seit 1969<br />
Beratung<br />
Organisation<br />
Softwareentwicklung<br />
IT-Revision IT-Revision und und IT-Sicherheit<br />
IT-Sicherheit<br />
Überblick über einige Aspekte der<br />
IT-Revision und IT-Sicherheit in der<br />
Informationstechnik (IT)
IT-Revision und IT-Sicherheit<br />
Gliederung<br />
• IT-Revision und IT-Sicherheit - Abgrenzung<br />
• IT-Revision<br />
– GoBS Grundsätze ordnungsm. DV-gestützter Buchführungssysteme<br />
– GoDV Grundsätze ordnungsm. Datenverarbeitung<br />
– GDPdU Grundsätze Datenzugriff und Prüfbarkeit digitaler Unterlagen<br />
• IT-Sicherheit<br />
– Einordnung einiger Sicherheitskonzepte<br />
– Grundschutzhandbuch (GSHB)<br />
– IT-Sicherheit - Vorgehensmodell<br />
– GSTool<br />
12.02.2007 <strong>PTA</strong> <strong>GmbH</strong>, Unternehmensberatung 2
IT-Revision und IT-Sicherheit<br />
IT-Revision und IT-Sicherheit --Abgrenzung Abgrenzung<br />
• IT-Revision und IT-Sicherheit (IT-Security) lassen sich nur schwer<br />
abgrenzen und haben gemeinsam die Aufgabe, die Risiken einer<br />
IT-Anwendung:<br />
– zu erkennen<br />
– zu bewerten<br />
– zu kontrollieren<br />
– zu reduzieren.<br />
• Die IT-Revision:<br />
– hat mehr die Organisation im Fokus.<br />
– basiert mehr auf Grundsätzen und Vorschriften der<br />
Ordnungsmäßigkeit.<br />
• Die IT-Sicherheit (IT-Security):<br />
– hat mehr die IT (Informationstechnik) im Fokus.<br />
– basiert mehr auf die Abwehr von Bedrohung auf Basis allgemein<br />
anerkannter Standards (Best Practices).<br />
12.02.2007 <strong>PTA</strong> <strong>GmbH</strong>, Unternehmensberatung 3
V<br />
o<br />
r<br />
s<br />
c<br />
h<br />
r<br />
i i<br />
f f<br />
tt<br />
e<br />
n<br />
IT-Revision und IT-Sicherheit<br />
IT-Revision und IT-Sicherheit --Abgrenzung Abgrenzung<br />
Ordnungsmäßigkeit<br />
GoBS<br />
GoDV<br />
GDPdU<br />
Geschäftsziele und Geschäftsprozesse<br />
• Internes Kontrollsystem<br />
• Dokumentation/Prüfbarkeit<br />
• Archivierung<br />
• ...<br />
• Kontrollierbarkeit<br />
• Funktionssicherheit<br />
• Richtigkeit<br />
• ...<br />
• (Un)mittelbarer Datenzugriff<br />
• Datenträgerüberlassung<br />
• Hilfsmittel und Einweisung<br />
• ...<br />
Organisation<br />
IT-Anwendung<br />
Methoden / / Verfahren / / Werkzeuge<br />
Bedrohung<br />
Verlust der der<br />
Vertraulichkeit<br />
• Zutrittskontrolle<br />
• Zugangskontrolle<br />
• Zugriffskontrolle<br />
• ...<br />
Verlust der der<br />
Integrität<br />
• Korrektheit<br />
• Aktualität<br />
• Authentizität<br />
• ...<br />
Verlust der der<br />
Verfügbarkeit<br />
• Hardware<br />
• Software<br />
• Netzwerk<br />
12.02.2007 <strong>PTA</strong> <strong>GmbH</strong>, Unternehmensberatung 4<br />
• ...<br />
Informationstechnik<br />
B<br />
e<br />
s<br />
tt<br />
P<br />
r<br />
a<br />
c<br />
t t<br />
ii<br />
c<br />
e<br />
s
IT-Revision und IT-Sicherheit<br />
Gliederung<br />
• IT-Revision und IT-Sicherheit - Abgrenzung<br />
• IT-Revision<br />
– GoBS Grundsätze ordnungsm. DV-gestützter Buchführungssysteme<br />
– GoDV Grundsätze ordnungsm. Datenverarbeitung<br />
– GDPdU Grundsätze Datenzugriff und Prüfbarkeit digitaler Unterlagen<br />
• IT-Sicherheit<br />
– Einordnung einiger Sicherheitskonzepte<br />
– Grundschutzhandbuch (GSHB)<br />
– IT-Sicherheit - Vorgehensmodell<br />
– GSTool<br />
12.02.2007 <strong>PTA</strong> <strong>GmbH</strong>, Unternehmensberatung 5
Grundsätze<br />
ordnungsmäßiger<br />
Buchführung<br />
GoB<br />
IT-Revision und IT-Sicherheit<br />
Grundsätze --Überblick Überblick über über die die Entwicklung Entwicklung einiger einiger Grundsätze Grundsätze<br />
Handelsrecht<br />
Steuerrecht<br />
Rechtsprechung<br />
Grundsätze<br />
ordnungsm. Datenverarbeitung<br />
GoDV<br />
1975 Peez, Schuppenhauer, ...<br />
Grundsätze<br />
ordnungsm. Speicherbuchführung<br />
GoS<br />
1978 Arbeitsgruppe<br />
Weiterentwicklung Weiterentwicklung<br />
Grundsätze<br />
ordnungsm. DV-gestützter<br />
Buchführungssysteme GoBS<br />
1995 Arbeitsgruppe, 2001 Arbeitsgruppe<br />
Grundsätze zum Datenzugriff und zur<br />
Prüfbarkeit digitaler Unterlagen<br />
GDPdU<br />
2001 BMF<br />
Weiterentwicklung<br />
12.02.2007 <strong>PTA</strong> <strong>GmbH</strong>, Unternehmensberatung 6
IT-Revision und IT-Sicherheit<br />
GoBS --Grundsätze Grundsätze ordnungsmäßiger ordnungsmäßiger DV-gestützter DV-gestützter Buchführungssysteme<br />
• Aufgaben<br />
– Beleg-, Journal- Kontenfunktion<br />
• Belegfunktion: Nachvollziehbare Nachweis über den Zusammenhang zwischen<br />
den buchungspflichtigen Vorgängen in der Realität einerseits und dem<br />
gebuchten Inhalt in den Geschäftsbüchern andererseits<br />
• Journalfunktion: Nachweis über die vollständige, zeitgerechte und formal<br />
richtige Erfassung, Verarbeitung und Wiedergabe eines Geschäftsvorfalls<br />
• Kontenfunktion: Darstellung der Geschäftsvorfälle nach Sach- und Personenkonten<br />
geordnet<br />
– Buchung<br />
– Kontrolle / Abstimmung (Internes Kontrollsystem - IKS)<br />
– Datensicherung und Datensicherheit<br />
– Dokumentation und Prüfbarkeit<br />
– Aufbewahrungsfristen<br />
– Wiedergabe der auf Datenträger geführten Unterlagen<br />
– Verantwortlichkeiten<br />
12.02.2007 <strong>PTA</strong> <strong>GmbH</strong>, Unternehmensberatung 7
IT-Revision und IT-Sicherheit<br />
GoDV --Grundsätze Grundsätze ordnungsmäßiger ordnungsmäßiger Datenverarbeitung<br />
Datenverarbeitung<br />
• Abgeleitet von<br />
– Grundsätzen ordnungsmäßiger Buchführung (GoB)<br />
– Grundsätzen DV-gestützter Buchführungssysteme (GoBS)<br />
– Grundsätzen ordnungsmäßigen Datenschutzes (GoDS)<br />
Kontrollierbarkeit<br />
Formelle<br />
GoDV<br />
Transparenz<br />
Funktionssicherheit<br />
GoDV<br />
Sachlogische<br />
Richtigkeit<br />
Materielle<br />
GoDV<br />
Tatsächliche<br />
Richtigkeit<br />
12.02.2007 <strong>PTA</strong> <strong>GmbH</strong>, Unternehmensberatung 8
IT-Revision und IT-Sicherheit<br />
GDPdU --Grundsätze Grundsätze zum zum Datenzugriff Datenzugriff und und zur zur Prüfbarkeit Prüfbarkeit digitaler digitaler Unterlagen Unterlagen<br />
• Durch Änderungen in der Abgabenordung (AO) und im Umsatzsteuergesetz<br />
(UStG) ist seit dem 1. Januar 2002 dem Außenprüfer<br />
der Finanzverwaltung der elektronischen Datenzugriff möglich:<br />
– Unmittelbarer Zugriff (Abschnitt I. 2. a der GDPdU)<br />
Vor Ort im Nur-Lese-Zugriff auf die Buchhaltungsdaten, Stammdaten<br />
und Verknüpfungen inkl. Filterung und Sortierung der steuerlich relevanten<br />
Daten mit vorhandenen Auswertungsprogrammen gewähren.<br />
– Mittelbarer Zugriff (Abschnitt I. 2. b der GDPdU)<br />
Entsprechend den Vorgaben des Prüfers werden die steuerlich relevanten<br />
Daten maschinell ausgewertet, um anschließend dem Prüfer<br />
einen Nur-Lese-Zugriff zu ermöglichen.<br />
– Datenträgerüberlassung (Abschnitt I. 2. c der GDPdU):<br />
Die gewünschten originär digital erzeugten steuerrelevanten Daten und<br />
Aufzeichnungen sowie alle zur Auswertung der Daten notwendigen Informationen<br />
in maschinell auswertbarer Form zur Verfügung zu stellen.<br />
siehe auch Präsentationen zu "GDPdU" und "Ordnungsmäßige Software"<br />
12.02.2007 <strong>PTA</strong> <strong>GmbH</strong>, Unternehmensberatung 9
IT-Revision und IT-Sicherheit<br />
GDPdU --Digitale Digitale Unterlagen Unterlagen<br />
• e-Mails, die steuerrelevant sind, z.B.<br />
– Handelsbriefe, Kalkulationsgrundlagen, vertragliche Vereinbarungen,<br />
auch ohne digitale Signatur<br />
– Termin- und Zahlungsvereinbarungen<br />
– Vereinbarung von Rabatten, Lieferterminen, Preisen<br />
• Einsatz von Finanzbuchhaltungs-Software<br />
• Einsatz von Materialwirtschafts-Software (z.B. ERP-Anwendungen)<br />
• Einsatz von digitaler Lohnbuchhaltung (z.B. Datev)<br />
• Einsatz von Tabellenkalkulations-Software (z.B. Excel, Lotus)<br />
• Vorgelagerte Systeme z.B. zur Zeiterfassung oder<br />
Reisekostenabrechnung<br />
• ...<br />
12.02.2007 <strong>PTA</strong> <strong>GmbH</strong>, Unternehmensberatung 10
IT-Revision und IT-Sicherheit<br />
Gliederung<br />
• IT-Revision und IT-Sicherheit - Abgrenzung<br />
• IT-Revision<br />
– GoBS Grundsätze ordnungsm. DV-gestützter Buchführungssysteme<br />
– GoDV Grundsätze ordnungsm. Datenverarbeitung<br />
– GDPdU Grundsätze Datenzugriff und Prüfbarkeit digitaler Unterlagen<br />
• IT-Sicherheit<br />
– Einordnung einiger Sicherheitskonzepte<br />
– Grundschutzhandbuch (GSHB)<br />
– IT-Sicherheit - Vorgehensmodell<br />
– GSTool<br />
12.02.2007 <strong>PTA</strong> <strong>GmbH</strong>, Unternehmensberatung 11
IT-Revision und IT-Sicherheit<br />
IT-Sicherheit --Bedrohung Bedrohung<br />
• Art der Bedrohung der Grundwerte<br />
– Verletzung der Vertraulichkeit<br />
Vertrauliche Daten werden unberechtigt zur Kenntnis genommen oder<br />
weitergegeben.<br />
– Verletzung der Integrität<br />
Die Korrektheit der Daten und der Funktionsweise von Systemen ist<br />
nicht mehr gegeben.<br />
– Verletzung der Verfügbarkeit<br />
Autorisierte Benutzer werden am Zugriff auf Daten und Systeme<br />
behindert.<br />
12.02.2007 <strong>PTA</strong> <strong>GmbH</strong>, Unternehmensberatung 12
IT-Revision und IT-Sicherheit<br />
IT-Sicherheit --Einordnung Einordnung einiger einiger Sicherheitskonzepte<br />
Sicherheitskonzepte<br />
• Vergleich Umfang und Tiefe des Standards<br />
T<br />
i<br />
e<br />
f<br />
e<br />
Umfang<br />
Quelle: IT-Governance, Diplomarbeit von Karlheinz Heschl, Wien 2002<br />
17799 Informationstechnik - Leitfaden zum<br />
Management von Informationssicherheit,<br />
BS ISO/IEC 17799<br />
CC The Common Criteria for Information<br />
Technology Security Evaluation<br />
COBIT Control Objectives for Information and<br />
Related Technology von ISACF<br />
EnSEC Enterprise Security Management von TÜV<br />
Secure iT <strong>GmbH</strong><br />
GSHB Grundschutzhandbuch vom Bundesamt für<br />
Sicherheit in der Informationstechnik (BSI)<br />
IFAC International IT Guidelines von<br />
International Federation of Accountants<br />
ITIL IT Infrastructure Library von Office of<br />
Government Commerce<br />
ITSEC Information Technology Security Evaluation<br />
Criteria von der Europäischen Kommission<br />
SysTrust Zertifizierungsstandard von der American<br />
Institute of Certified Public Accountants<br />
AICPA und Canadian Institute of Chartered<br />
Accountants CICA<br />
WebTrust WebTrust Principle and Criteria von der<br />
AICPA<br />
12.02.2007 <strong>PTA</strong> <strong>GmbH</strong>, Unternehmensberatung 13
U<br />
m<br />
f<br />
a<br />
n<br />
g<br />
IT-Revision und IT-Sicherheit<br />
IT-Sicherheit --Einordnung Einordnung einiger einiger Sicherheitskonzepte<br />
Sicherheitskonzepte<br />
• Vergleich Teilaspekte und Inhalt des Kriterienwerks<br />
Teilaspekt<br />
Quelle:IT-Sicherheitskriterien im Vergleich, Ein Leitfaden der Projektgruppe<br />
IT-Sicherheitskriterien und IT-Grundschutz-Zertifikat/Qualifizierung, 2001<br />
9000 ISO 9000 Qualitätsmanagement<br />
13335 ISO TR (Technical Reports) 13335<br />
17799 Informationstechnik - Leitfaden zum<br />
Management von Informationssicherheit,<br />
BS ISO/IEC 17799 und BS 7799<br />
CC The Common Criteria for Information<br />
Technology Security Evaluation<br />
COBIT Control Objectives for Information and<br />
Related Technology von ISACF<br />
DS Produkt-Audit Landesdatenschutz<br />
Schleswig Holstein<br />
EnSEC Enterprise Security Management von TÜV<br />
Secure iT <strong>GmbH</strong><br />
FIPS 140 Federal Information Processing Standards<br />
von National Institute of Standards and<br />
Technology (NIST)<br />
GSHB Grundschutzhandbuch vom Bundesamt für<br />
Sicherheit in der Informationstechnik (BSI)<br />
ITSEC Information Technology Security Evaluation<br />
Criteria von der Europäischen Kommission<br />
Tak Force Maßnahmenkatalog von der Task Force<br />
"Sicheres Internet"<br />
12.02.2007 <strong>PTA</strong> <strong>GmbH</strong>, Unternehmensberatung 14
IT-Revision und IT-Sicherheit<br />
IT-Sicherheit --Zielsetzung Zielsetzung GSHB GSHB (Grundschutzhandbuch)<br />
• Durch Anwendung von Standardsicherheitsmaßnahmen von der<br />
Art:<br />
– organisatorischer<br />
– personeller<br />
– infrastruktureller<br />
– technischer<br />
• ein Sicherheitsniveau für IT-System zu erreichen,<br />
• das für den normalen Schutzbedarf angemessen und ausreichend<br />
ist<br />
• und als Basis für hochschutzbedürftige IT-Systeme und<br />
IT-Anwendungen dienen kann<br />
(nach BSI IT-Grundschutzhandbuch - Standardsicherheitsmaßnahmen, Kap. 1.1)<br />
12.02.2007 <strong>PTA</strong> <strong>GmbH</strong>, Unternehmensberatung 15
IT-Revision und IT-Sicherheit<br />
Grundschutzhandbuch (GSHB) --Aufgaben Aufgaben<br />
• Modellierung und Erstellung eines Schichtenmodell nach dem<br />
Grundschutzhandbuch (GSHB)<br />
• IT-Systemerfassung und Strukturanalyse<br />
• Anwendungserfassung<br />
• Maßnahmenumsetzung<br />
• Kostenauswertung<br />
• Schutzbedarfsfeststellung<br />
• Revisionsunterstützung<br />
• Basissicherheitschecks<br />
12.02.2007 <strong>PTA</strong> <strong>GmbH</strong>, Unternehmensberatung 16
IT-Revision und IT-Sicherheit<br />
Grundschutzhandbuch (GSHB) --Aufbau Aufbau<br />
Gefährdungskataloge<br />
Schichten<br />
Kapitel<br />
(Bausteine/<br />
Komponenten)<br />
• Höhere Gewalt<br />
• Organisatorische Mängel<br />
• Menschliche Fehlhandlung<br />
• Technisches Versagen<br />
• Vorsätzliche Handlungen<br />
Maßnahmenkataloge<br />
• Infrastruktur<br />
• Organisation<br />
• Personal<br />
• Hardware/Software<br />
• Kommunikation<br />
• Notfallvorsorge<br />
12.02.2007 <strong>PTA</strong> <strong>GmbH</strong>, Unternehmensberatung 17
Bausteine/Komponenten (Maßnahmenbündel)<br />
IT-Revision und IT-Sicherheit<br />
Grundschutzhandbuch (GSHB) --Schichtenmodell Schichtenmodell<br />
Quelle: BSI IT-Grundschutzhandbuch<br />
Schichten<br />
12.02.2007 <strong>PTA</strong> <strong>GmbH</strong>, Unternehmensberatung 18
IT-Revision und IT-Sicherheit<br />
Grundschutzhandbuch (GSHB) --Web-Kurs Web-Kurs<br />
• Selbstlern-Kurs: http://www.bsi.de/gshb/webkurs/<br />
Quelle: BSI Web-Kurs, Kapitel 1.3 IT-Sicherheit - Hilfen aus dem GSHB (1/2)<br />
12.02.2007 <strong>PTA</strong> <strong>GmbH</strong>, Unternehmensberatung 19
IT-Revision und IT-Sicherheit<br />
Grundschutzhandbuch (GSHB) --Vorgehensweise Vorgehensweise<br />
• IT-Sicherheitsprozess<br />
Quelle: BSI Web-Kurs, Kapitel 2.1 Überblick<br />
12.02.2007 <strong>PTA</strong> <strong>GmbH</strong>, Unternehmensberatung 20
A<br />
u<br />
d<br />
i<br />
t<br />
Prozess<br />
IT-Revision und IT-Sicherheit<br />
IT-Sicherheit --Vorgehensmodell Vorgehensmodell<br />
Sicherheitsleitlinie GL<br />
(Sicherheitsniveau)<br />
IT-Strukturanalyse<br />
Schutzbedarfsfeststellung<br />
Sicherheitsanalyse<br />
Realisierungsplanung<br />
Schutzmaßnahmen<br />
(Projekte)<br />
Soll-/Ist-Vergleich<br />
Ergebnis<br />
12.02.2007 <strong>PTA</strong> <strong>GmbH</strong>, Unternehmensberatung 21<br />
R<br />
e<br />
v<br />
i<br />
e<br />
w
A<br />
u<br />
d<br />
i<br />
t<br />
Prozess<br />
IT-Revision und IT-Sicherheit<br />
IT-Sicherheit --Vorgehensmodell Vorgehensmodell (Ergebnisse) (Ergebnisse)<br />
Netzplan<br />
Vertraulichkeit<br />
Integrität<br />
Verfügbarkeit<br />
Schichtenmodell<br />
• Gefährdungskatalog<br />
• Maßnahmenkatalog<br />
Aufwandsschätzung<br />
Sicherheitsleitlinie GL<br />
(Sicherheitsniveau)<br />
IT-Strukturanalyse<br />
Schutzbedarfsfeststellung<br />
Sicherheitsanalyse<br />
Realisierungsplanung<br />
Schutzmaßnahmen<br />
(Projekte)<br />
Soll-/Ist-Vergleich<br />
IT-Systeme<br />
IT-Anwendungen<br />
IT-Kommunikationen<br />
IT-Räume<br />
Schutzbedarf<br />
Sicherheitsmaßnahmen<br />
Realisierungsplan<br />
Anforderungen<br />
Gestuftes<br />
Konzept<br />
Ergebnis<br />
12.02.2007 <strong>PTA</strong> <strong>GmbH</strong>, Unternehmensberatung 22<br />
R<br />
e<br />
v<br />
i<br />
e<br />
w
IT-Revision und IT-Sicherheit<br />
IT-Sicherheitsleitlinie --Inhalt Inhalt<br />
• Die IT-Sicherheitsleitlinie (Security Policy) definiert das angestrebte<br />
IT-Sicherheitsniveau, mit dem die Aufgaben durch das Unternehmen<br />
erfüllt werden.<br />
• Inhalt:<br />
– Bedeutung der IT für das Unternehmen<br />
– Sollziele für die IT-Sicherheit<br />
– Strategie zur Erreichung der Ziele<br />
– Organisation, Richtlinien und Regeln<br />
Sicherheitsleitlinie<br />
12.02.2007 <strong>PTA</strong> <strong>GmbH</strong>, Unternehmensberatung 23
IT-Revision und IT-Sicherheit<br />
IT-Sicherheitsleitlinie --Ziele Ziele<br />
• Ziele:<br />
– Schutz vertraulicher Informationen sowohl von Kunden als auch des<br />
Unternehmens<br />
– Hohe Verfügbarkeit und Integrität sämtlicher IT-Systeme<br />
– Sicherung der hohen, möglicherweise unwiederbringlichen Werte der verarbeiteten<br />
Informationen<br />
– Sicherung der Qualität der Informationen, als Basis für korrekte Aufgabenabwicklung<br />
und unternehmerische Entscheidungen<br />
– Gewährleistung der aus gesetzlichen Vorgaben resultierenden Anforderungen<br />
– Sicherstellung der Kontinuität der Arbeitsabläufe innerhalb des Unternehmens<br />
– Gewährleistung des gutes Rufs des Unternehmens in der Öffentlichkeit<br />
– Reduzierung der im Schadensfall entstehenden Kosten<br />
Sicherheitsleitlinie<br />
12.02.2007 <strong>PTA</strong> <strong>GmbH</strong>, Unternehmensberatung 24
IT-Revision und IT-Sicherheit<br />
IT-Sicherheitsleitlinie --Grundsätze Grundsätze und und Strategien Strategien<br />
• Sicherheitsgrundsätze<br />
– Sicherheitspolitik als integraler Bestandteil der Geschäftspolitik<br />
– Einhaltung der gesetzlichen Anforderungen<br />
– Schutz von Daten und Ressourcen<br />
– Sicherheit als Schutz aller Partner (Kunden, Lieferanten, Mitarbeiter, ...)<br />
– Gewährleistung der Nachvollziehbarkeit<br />
– Einhaltung von Standards und Regelwerken<br />
– ...<br />
• Sicherheitsstrategien<br />
– Durchgängige Gewährleistung von IT-Sicherheit in neuen Anwendungen/Releases<br />
– Erklärung eines verbindlichen Vorgehensmodell für die Softwareentwicklung<br />
– Förderung des Sicherheitsbewusstseins in der IT<br />
– Festlegung von Verantwortungsbereichen innerhalb der IT-Systeme und -Netze<br />
– Identifikation aller Kommunikationspartner<br />
– Fortschreibung und Anpassung der Standards und Regelwerke<br />
– ...<br />
Sicherheitsleitlinie<br />
12.02.2007 <strong>PTA</strong> <strong>GmbH</strong>, Unternehmensberatung 25
IT-Revision und IT-Sicherheit<br />
GSTool<br />
• IT-Anwendung zur Unterstützung der Handhabung des GSHB<br />
• Download Software und Dokumentation:<br />
http://www.bsi.bund.de/gstool/down.htm<br />
• Lizenzen: http://www.bsi.bund.de/gstool/vertrieb.htm<br />
Quelle: BSI Handbuch GSTool<br />
12.02.2007 <strong>PTA</strong> <strong>GmbH</strong>, Unternehmensberatung 26
IT-Revision und IT-Sicherheit<br />
GS-Tool --Prozess Prozess IT-Strukturanalyse<br />
IT-Strukturanalyse<br />
• Ermittlung der<br />
– IT-Systeme<br />
– Anwendungen<br />
– Gebäude und Räume<br />
– Kommunikationsverbindungen (Netze)<br />
– Mitarbeiter<br />
• und deren Zusammenhänge<br />
Netzplan<br />
• IT-Systeme<br />
• Verbindungen (innen und außen)<br />
IT-Gruppe Deutschland<br />
GSTool<br />
Anzeige Struktur<br />
12.02.2007 <strong>PTA</strong> <strong>GmbH</strong>, Unternehmensberatung 27<br />
IT-Strukturanalyse<br />
Anzeige Übersicht,<br />
Sammlung (automatisch)
IT-Revision und IT-Sicherheit<br />
GS-Tool --Prozess Prozess Strukturanalyse<br />
Strukturanalyse<br />
• Möglichkeiten der Zuordnung (Zuordnungsregeln)<br />
Quelle: BSI Handbuch GSTool Kapitel 4.1.2 Strukturregeln<br />
12.02.2007 <strong>PTA</strong> <strong>GmbH</strong>, Unternehmensberatung 28<br />
IT-Strukturanalyse
IT-Revision und IT-Sicherheit<br />
GS-Tool --Prozess Prozess Schutzbedarfsfeststellung<br />
• Definition der Schutzbedarfskategorien<br />
• Feststellung des Schutzbedarfs der IT-Anwendungen<br />
Anhand des ermittelten Schutzbedarfs lassen sich angemessene<br />
Schutzmaßnahmen für die verschiedenen Komponenten der IT:<br />
- IT-Systeme<br />
- Anwendungen<br />
- Gebäude und Räume<br />
- Kommunikationsverbindungen<br />
- Mitarbeiter<br />
auswählen.<br />
12.02.2007 <strong>PTA</strong> <strong>GmbH</strong>, Unternehmensberatung 29<br />
Schutzbedarf
• Schutzbedarfskategorien:<br />
– Niedrig bis mittel<br />
IT-Revision und IT-Sicherheit<br />
GS-Tool --Schutzbedarfskategorien Schutzbedarfskategorien<br />
Die Schadensauswirkungen sind<br />
begrenzt und überschaubar.<br />
– Hoch<br />
Die Schadensauswirkungen können<br />
beträchtlich sein.<br />
– Sehr hoch<br />
Die Schadensauswirkungen können<br />
ein existentiell bedrohliches,<br />
katastrophales Ausmaß erreichen.<br />
Quelle: BSI Web-Kurs, Kapitel 4.1 Überblick<br />
12.02.2007 <strong>PTA</strong> <strong>GmbH</strong>, Unternehmensberatung 30<br />
Schutzbedarf
IT-Revision und IT-Sicherheit<br />
GS-Tool --Schutzbedarf Schutzbedarf<br />
• Der Schutzbedarf wird für die drei Grundwerte:<br />
– Vertraulichkeit<br />
– Integrität<br />
– Verfügbarkeit<br />
gesondert betrachtet,<br />
• da der Schutzbedarf<br />
unterschiedlich hoch<br />
sein kann<br />
(Schutzbedarfskategorie):<br />
– Niedrig bis mittel<br />
– Hoch<br />
– Sehr hoch<br />
Quelle: BSI Web-Kurs, Kapitel 4.3 IT-Anwendungen<br />
12.02.2007 <strong>PTA</strong> <strong>GmbH</strong>, Unternehmensberatung 31<br />
Schutzbedarf
IT-Revision und IT-Sicherheit<br />
GSTool --Prozess Prozess<br />
Sicherheitsanalyse<br />
Sicherheitsanalyse<br />
• Prioritäten<br />
1. Diese Maßnahmen sind besonders wirksam und grundlegend<br />
für die Sicherheit innerhalb des betrachteten Bausteins. Sie<br />
sind vorrangig umzusetzen.<br />
12.02.2007 <strong>PTA</strong> <strong>GmbH</strong>, Unternehmensberatung 32<br />
Sicherheitsanalyse<br />
2. Diese Maßnahmen sind wichtig. Eine zügige Realisierung ist anzustreben.<br />
3. Diese Maßnahmen sind wichtig für die Abrundung der IT-Sicherheit. Bei<br />
Engpässen können sie zeitlich nachrangig umgesetzt werden.<br />
IT-Gruppe Deutschland<br />
"Vererbung" nach oben<br />
IT-Systeme werden eingesetzt, um Anwendungen zu unterstützen.<br />
Der Schutzbedarf eines IT-Systems hängt damit im Wesentlichen<br />
von dem Schutzbedarf derjenigen Anwendungen<br />
ab, für deren Ausführung es benötigt wird.<br />
Der Schutzbedarf der Anwendung vererbt sich auf den<br />
Schutzbedarf des IT-Systems (mehrere Prinzipen<br />
möglich).
IT-Revision und IT-Sicherheit<br />
GS-Tool --Schwerpunkte Schwerpunkte<br />
festlegen<br />
festlegen<br />
Quelle: BSI IT-Grundschutzhandbuch<br />
12.02.2007 <strong>PTA</strong> <strong>GmbH</strong>, Unternehmensberatung 33<br />
Sicherheitsanalyse
GSTool - Strukturanalyse<br />
Qualifizierungsstufe<br />
A Einstiegstufe<br />
B Aufbaustufe<br />
C Zertifizierungsstufe<br />
IT-Gruppe Deutschland<br />
IT-Revision und IT-Sicherheit<br />
GSTool --Maßnahmen Maßnahmen ermitteln ermitteln (Standard (Standard automatisch) automatisch)<br />
GSTool - Schutzbedarfsfeststellung<br />
Gefährdungskatalog<br />
Maßnahmenkatalog<br />
IT-Gruppe Deutschland<br />
12.02.2007 <strong>PTA</strong> <strong>GmbH</strong>, Unternehmensberatung 34<br />
Sicherheitsanalyse<br />
GSTool - Maßnahmen
Quelle: BS, IT-Grundschutzhandbuch<br />
IT-Revision und IT-Sicherheit<br />
GSTool --Beispiel Beispiel Checkliste Checkliste<br />
12.02.2007 <strong>PTA</strong> <strong>GmbH</strong>, Unternehmensberatung 35<br />
Sicherheitsanalyse
IT-Revision und IT-Sicherheit<br />
GSTool --Sicherheitscheck Sicherheitscheck<br />
• Bewertung der einzelnen Maßnahmen jedes einzelnen<br />
Bausteins:<br />
– Umsetzung ist entbehrlich<br />
– Umsetzung hat zu erfolgen<br />
– Umsetzung hat teilweise zu erfolgen<br />
– Umsetzung hat nicht zu erfolgen<br />
Quelle: BSI Web-Kurs, Kapitel 6.3 Vorgehensweise (2/2)<br />
12.02.2007 <strong>PTA</strong> <strong>GmbH</strong>, Unternehmensberatung 36<br />
Sicherheitsanalyse
IT-Revision und IT-Sicherheit<br />
GSTool --Prozess Prozess Realisierung Realisierung<br />
• Sichtung der Untersuchungsergebnisse<br />
• Konsolidierung der Maßnahmen<br />
• Verantwortlichkeiten festlegen<br />
• Realisierungskonzept erstellen<br />
• Aufwandsschätzung durchführen<br />
• Reihenfolge festlegen<br />
– Abhängigkeiten<br />
– Priorität<br />
• Projekt(e) durchführen<br />
– Planung<br />
– Durchführung<br />
– Abschluss<br />
• Mitarbeiter sensibilisieren und schulen<br />
Quelle: BSI Web-Kurs, Kapitel 5.3 Schichtenmodell<br />
12.02.2007 <strong>PTA</strong> <strong>GmbH</strong>, Unternehmensberatung 37<br />
Realisierung
IT-Revision und IT-Sicherheit<br />
GSTool --Schutzmaßnahmen Schutzmaßnahmen als als Anforderungen<br />
Anforderungen<br />
• Sicherheitsanforderungen beeinflussen Neu- und Weiterentwicklung<br />
von IT-Anwendungen in Funktionalität, Softwarearchitektur,<br />
Standards und Regeln, usw.<br />
• Security Patterns (z.B. Yoder, Barcalow)<br />
– Single Access Point<br />
– Check Point<br />
– Role<br />
– ...<br />
• Best Practices<br />
– Role-Based Access Control<br />
– Event Log Auditing and Reporting<br />
– ...<br />
Single Access Point<br />
Role Check Point<br />
View<br />
Session<br />
Anwendung<br />
Secuirty Layer<br />
Patternklassifikation nach Yoder und Barcalow<br />
12.02.2007 <strong>PTA</strong> <strong>GmbH</strong>, Unternehmensberatung 38<br />
User<br />
Session<br />
Permission<br />
Role Operation Object<br />
Schutzmaßn.<br />
Roled-Based Access Control (RBAC) von<br />
DAVID F. FERRAIOLO, RAVI SANDHU, SERBAN GAVRILA