Kontakt
Downloads
BSI IT-Revision
BSI IT-RevisionOrganisation von IS-Revisionen auf Basis von IT-Grundschutz
Informationssicherheitsrevision (IS-Revision) ist ein Bestandteil eines jeden erfolgreichen Informationssicherheitsmanagements. Nur durch die regelmäßige Überprüfung der etablierten Sicherheitsmaßnahmen und des Informationssicherheits-Prozesses können Aussagen über deren wirksame Umsetzung, Aktualität, Vollständigkeit und Angemessenheit und damit über den aktuellen Zustand der Informationssicherheit getroffen werden. Die IS-Revision ist somit ein Werkzeug zum Feststellen, Erreichen und Aufrechterhalten eines angemessenen Sicherheitsniveaus in einer Institution [BSI].
Eine standardkonforme, sorgfältige Planung, Durchführung und Auswertung von IS-Revisionen ist zeit- und ressourcenintensiv. Die Zeitvorgaben für die Dauer der IS-Revisionen gemäß BSI sind knapp bemessen und sollten durch die IS-Revisoren eingehalten werden. Die Erstellung der erforderlichen Dokumentationen, vor allem des IS-Prüfungsplanes und des/der IS-Revisionsberichte(s) unterschiedlicher Ausprägung sowie das Management der umfangreichen Prüfungskataloge stellen eine Herausforderung für den leitenden IS-Revisor und sein IS-Revisionsteam dar.
Step-by-StepBSI IS-Revision auf Basis von IT-Grundschutz
Eine standardkonforme, sorgfältige Planung, Durchführung und Auswertung von IS-Revisionen ist zeit- und ressourcenintensiv. Die Erstellung des erforderlichen IS-Prüfungsplanes mit passenden Fragenkatalogen, Dokumentation der Feststellungen und mit Nachweisen sowie der IS-Revisionsberichte unterschiedlicher Ausprägung stellen eine Herausforderung für den leitenden IS-Revisor und sein IS-Revisionsteam dar. Die GAP View-Methodik erleichtert die Aufgabe signifikant.
-
Erfassung alle erforderlichen Stammdaten für die IS-Revision. Dazu gehören alle Institutionen und Mitarbeiter, die in der langfristigen IS-Revisionsplanung und an den einzelnen IS-Revisionen beteiligt sind.
-
Erfassung der involvierten Personen u.a.: Mitarbeiter der auditierten Institution, das IS-Revisionsteam und Sachverständige/Experten ggf. Beobachter mit den benötigten Informationen, wie z.B. Funktion, Kompetenzen/Qualifikationen und Kontaktdaten.
- Import oder manuelle Erstellung der für die IS-Revision benötigten Fragenkataloge (Checklisten) (MS Excel-Format).
- Optional können den einzelnen Sicherheitsanforderungen eines Bausteins in der Checkliste die geplanten Auditzeiten zugeordnet werden. Sie werden im weiteren Verlauf der IS-Revisionsplanung verwendet.
- Die erstellte Checklisten werden zentral verwaltet und berechtigten IS-Revisoren zur Verfügung gestellt.
-
Die Grundlage zur Erstellung eines IS-Prüfplans ist die bestehende IT-Grundschutz-Modellierung, aus der sich die Zuordnung der IT-Grundschutz-Bausteine zu den einzelnen Zielobjekten ergibt (Baustein-Zielobjekt). Dafür wird das BSI IT-Grundschutz-Kompendium importiert (XML-Format).
- Gemäß dem Umsetzungsplan Bund 2017 (UP Bund) sollen die Bundesbehörden die IS-Revisionen regelmäßig durchführen. Es wird empfohlen ein mehrjähriges IS-Revisionsverfahren in der Institution zu etablieren, in dem die notwendigen organisatorischen und personellen Rahmenbedingungen geregelt sind.
- Erfassung der Grunddaten der IS-Revision, u.a. Bezeichnung, Standort und Art der IS-Revision (Kurz-, Querschnitt- oder Partialrevision), Kommentar über die Beauftragung, ggf. mit einer Kopie der Beauftragung (Anhang) dokumentiert.
- Festlegung der Ziele, Vorgaben und Prüfmethoden
- Dokumentation der organisatorischen und fachbezogenen Dokumente
- Festlegung der Kontaktperson(en), IS-Revisionsteams und Mitarbeiter der Institution
- Erstellung des Revisionshandbuches
-
Festlegung des Zeitrahmens und Zeitvorgaben: Dauer der IS-Revision, Beginn und Ende eines regulären Arbeitstages sowie bestimmte festgelegte Tagestermine, wie z.B.: gesetzlich vorgeschriebene Pausen und Meetings.
-
Grundlage zur Erstellung des IS-Prüfplans ist die IT-Grundschutz-Modellierung. Aus der Grundschutz-Modellierung ergibt sich eine Zuordnung von Grundschutzbausteinen zu bestimmten Zielobjekten (Baustein-Zielobjekt). Für die stichprobenbasierte Prüfung sind mindesten 30% der modellierten Baustein-Zielobjekte zu berücksichtigen.
-
Die GAP View Software unterstützt das IS-Revisionsteam bei der Auswahl der erforderlichen Anzahl der Baustein-Zielobjekte. Die prozentuelle Berechnung der Stichprobe von mindestens 30% erfolgt automatisch. Zusätzlich werden die Zielobjekte eingetragen und die Prüfungsrelevanz dokumentiert.
-
Zuordnung der IS-Revisoren, Sachverständigen und Mitarbeiter(n) zu den einzelnen Schichten, Bausteinen oder Anforderungen.
- Zuordnung der Prüfmethoden den einzelnen Schichten, Bausteinen oder Anforderungen.
-
Automatische Generierung des Auditkalenders mit den geplanten Aktivitäten und Ressourcen. Die in den Fragenkatalogen definierten benötigten Zeiten pro Schicht /Baustein werden berücksichtigt.
-
Optional können die automatisch erstellte Termine manuell angepasst werden.
-
Filterfunktion für Übersichten der Termine, z.B. pro ausgewähltem IS-Revisor oder eines bestimmten Mitarbeiters.
-
Die einzelnen Kalendereinträge verbergen detaillierte Angaben des geplanten Termins, u.a.: genaue Zeitangaben, Ort/Raum und die Teilnehmer (IS-Revisor(en), Mitarbeiter ggf. Experten).
- Generierung des IS-Prüfplans mit allen relevanten Angaben über die anstehende IS-Revision (PDF).
- Optionale Benachrichtigung der Beteiligten per E-Mail.
-
Dem IS-Revisionsteam steht eine Liste der für die Prüfung ausgewählten Anforderungen zur Verfügung. Anhand der Statusanzeige kann einfach festgestellt werden, welche der Anforderungen bereits abgearbeitet (GRÜN), in Bearbeitung (ORANGE) oder noch nicht begonnen (ROT) sind.
-
Die IS-Revision erfolgt über die Auswahl einer Anforderung. Angezeigt werden die Referenznummer und Bezeichnung der Anforderung. Die Feststellung und die Referenzdokumente/Nachweise (auch als Anhang) können dokumentiert werden.
- Der IS-Revisor dokumentiert die Feststellung, kann Nachweise der Feststellung als Anhang einfügen und abschließend die Frage gemäß der BSI-Bewertung nach Umsetzungsstatus und Sicherheitsmangel (zweigliedrige Bewertungsschema) bewerten.
-
Dem IS-Revisionsteam stehen zwei Standard-Berichte zu Verfügung. Die Kurzfassung besteht aus dem Inhaltsverzeichnis, der Darstellung der organisatorischen Aspekte der IS-Revision, einer Zusammenfassung der Ergebnisse und der Bewertung der einzelnen Anforderungen der Bausteine mit den Feststellungen.
-
Die detaillierte Fassung listet zusätzlich die Bewertungen aller in der IS-Revision gestellten Fragen auf.
-
Die festgestellten Abweichungen werden aufgelistet und können involvierten Mitarbeiter für die Durchführung der Korrekturmaßnahmen zugeordnet werden.
AnwenderkreisDie GAP View Software kann wie folgt eingesetzt werden:
- Institutionen - Die Institution, z.B. eine Behörde ist der Lizenznehmer und organisiert eigene langfristige IS-Revisionsverfahren mit IS-Revisionen für alle Standorte. Die IS-Revisionspläne können pro Standort erstellt werden. Die Institution stellt die Software mit den dafür konzipierten Fragenkatalogen eigenen Lieferanten für die Durchführung von Lieferantenaudits zur Verfügung. Der Betrieb der Software erfolgt gemäß dem Lizenz- und Nutzungsvertrag in der Cloud (Hersteller) oder On-Prem (Institution) für eine lizensierte Anzahl von Lieferanten und Usern. Das gilt auch für Kritische Infrastrukturen (§ 2 Absatz 10 BSIG), mittelständische Unternehmen und sonstige öffentliche oder private Organisationen.
- Dienstleister (Auditoren/IS-Revisoren) - Der Dienstleister ist der Lizenznehmer und kann alle Audits/IS-Revisionen für beliebige Institutionen organisieren und durchführen. Der Betrieb der Software erfolgt gemäß dem Lizenz- und Nutzungsvertrag in der Cloud (Hersteller, Dienstleister) oder On-Prem (Dienstleister, Institution) für eine lizensierte Anzahl von Auditees und Benutzer.