
BSI IT-Revision

BSI IT-RevisionOrganisation von IS-Revisionen auf Basis von IT-Grundschutz
Informationssicherheitsrevision (IS-Revision) ist ein Bestandteil eines jeden erfolgreichen Informationssicherheitsmanagements. Nur durch die regelmäßige Überprüfung der etablierten Sicherheitsmaßnahmen und des Informationssicherheits-Prozesses können Aussagen über deren wirksame Umsetzung, Aktualität, Vollständigkeit und Angemessenheit und damit über den aktuellen Zustand der Informationssicherheit getroffen werden. Die IS-Revision ist somit ein Werkzeug zum Feststellen, Erreichen und Aufrechterhalten eines angemessenen Sicherheitsniveaus in einer Institution [BSI].
Eine standardkonforme, sorgfältige Planung, Durchführung und Auswertung von IS-Revisionen ist zeit- und ressourcenintensiv. Die Zeitvorgaben für die Dauer der IS-Revisionen gemäß BSI sind knapp bemessen und sollten durch die IS-Revisoren eingehalten werden. Die Erstellung der erforderlichen Dokumentationen, vor allem des IS-Prüfungsplanes und des/der IS-Revisionsberichte(s) unterschiedlicher Ausprägung sowie das Management der umfangreichen Prüfungskataloge stellen eine Herausforderung für den leitenden IS-Revisor und sein IS-Revisionsteam dar.
FunktionsumfangBSI IS-Revision: Planung, Durchführung und Auswertung
Der Funktionsumfang der GAP View Software skizziert in den nachfolgenden Steps, bildet den BSI Leitfaden für die IS-Revision und unterstützt somit die IS-Revisoren (Revisionsteam) sowie die involvierten Mitarbeiter der Institution bei der Umsetzung der IS-Revisionen.
-
Alle erforderlichen Stammdaten für die Planung und Durchführung einer IS-Revision erfasst. Dazu gehören alle Institutionen und Mitarbeiter, die in der langfristigen IS-Revisionsplanung und an den einzelnen IS-Revisionen beteiligt sind.
-
Die in der IS-Revision involvierten Mitarbeiter der auditierten Institution, das IS-Revisionsteam und Experten ggf. Beobachter werden mit den in der IS-Revision benötigten Informationen, wie z.B. Funktion, Kompetenzen/Qualifikationen und Kontaktdaten erfasst.
- Die für die IS-Revision benötigten Fragenkataloge (Checklisten) können importiert oder manuell erstellt werden. Die gewünschte Checkliste wird in einem dafür konzipierten MS Excel-Tabellentemplate in zwei Registerreitern strukturiert: BSI IT-Grundschutz Baustein/Anforderung und die dazu gehörigen IS-Revisionsfragen (beliebige Anzahl).
- Den einzelnen Sicherheitsanforderungen eines Bausteins in der Checkliste können die geplanten oder geschätzten Auditzeiten zugeordnet werden. Sie werden im weiteren Verlauf der IS-Revisionsplanung verwendet.
- Die erstellte Checklisten werden zentral verwaltet und berechtigten IS-Revisoren zur Verfügung gestellt.
-
Die Grundlage zur Erstellung eines IS-Prüfplans ist die bestehende IT-Grundschutz-Modellierung, aus der sich die Zuordnung der IT-Grundschutz-Bausteine zu den einzelnen Zielobjekten ergibt (Baustein-Zielobjekt). Dafür wird das BSI IT-Grundschutz-Kompendium importiert (XML-Format).
- Gemäß dem Umsetzungsplan Bund 2017 sollen die Bundesbehörden die IS-Revisionen regelmäßig durchführen. Es wird empfohlen ein mehrjähriges IS-Revisionsverfahren in der Institution zu etablieren, in dem die notwendigen organisatorischen und personellen Rahmenbedingungen geregelt sind.
- Erfassung der Grunddaten der IS-Revision, u.a. Bezeichnung, Standort und Art der IS-Revision (Kurz-, Querschnitt- oder Partialrevision), Kommentar über die Beauftragung, ggf. mit einer Kopie der Beauftragung (Anhang) dokumentiert.
- Festlegung der Ziele, Vorgaben und Prüfmethoden
- Dokumentation der organisatorischen und fachbezogenen Dokumente
- Festlegung der Kontaktperson(en), IS-Revisionsteams und Mitarbeiter der Institution
- Erstellung des Revisionshandbuches
-
Grundvoraussetzung einer möglichst genauen IS-Revisionsplanung ist die Festlegung des Zeitrahmens und bestimmter Zeitvorgaben. Dazu gehören u.a. von wann bis wann ist die IS-Revision geplant, Beginn und Ende eines regulären Arbeitstages sowie bestimmte festgelegte Tagestermine. Zu den Tagesterminen gehören u.a.: gesetzlich vorgeschriebene Pausen und unterschiedliche Meetings (Eröffnungs- und Abschlussbesprechung, Besprechungen der IS-Revisoren etc.).
- Einige dieser Termine sind einmalig und andere wiederholen sich täglich während der IS-Revision. Einige dieser Termine sind im Zeitrahmen der IS-Revision zu berücksichtigen (z.B. Meetings) und andere sind zeitneutral (z.B. Mittagspause).
-
Grundlage zur Erstellung des IS-Prüfplans ist die IT-Grundschutz-Modellierung. Aus der Grundschutz-Modellierung ergibt sich eine Zuordnung von Grundschutzbausteinen zu bestimmten Zielobjekten (Baustein-Zielobjekt). Für die stichprobenbasierte Prüfung sind mindesten 30% der modellierten Baustein-Zielobjekte zu berücksichtigen.
-
Die GAP View Software unterstützt das IS-Revisionsteam bei der Auswahl der erforderlichen Anzahl der Baustein-Zielobjekte. Die prozentuelle Berechnung der Stichprobe von mindestens 30% erfolgt automatisch. Zusätzlich werden die Zielobjekte eingetragen und die Prüfungsrelevanz dokumentiert.
-
In der Ressourcenplanung erfolgt die Zuordnung der IS-Revisoren, Experten und der Mitarbeiter zu den einzelnen Schichten, Bausteinen oder Anforderungen. Die einzelnen involvierten Personen können automatisch durch „Vererbung“ mehreren oder allen Schichten, Bausteinen oder Anforderungen zugeordnet werden.
- Neben den Ressourcen werden die verwendeten Prüfmethoden den einzelnen Schichten, Bausteinen oder Anforderungen festgelegt.
-
Die geplanten Aktivitäten im Rahmen der IS-Revision werden automatisch im Kalender eingetragen. Die in den Fragenkatalogen definierten benötigten Zeiten pro Normkapitel werden berücksichtigt.
-
Die automatisch definierten Termine können einfach manuell angepasst (Dauer) und/oder auf andere Tage verschoben werden.
-
Der Kalender kann nach unterschiedlichen Kriterien „filtriert“ werden. Auf diese Art und Weise können die Termine z.B. pro ausgewähltem IS-Revisor oder eines bestimmten Mitarbeiters angezeigt werden.
-
Die einzelnen Kalendereinträge verbergen detaillierte Angaben des geplanten Termins, u.a.: genaue Zeitangaben, Ort/Raum und die Teilnehmer (IS-Revisor(en), Mitarbeiter ggf. Experten).
- Alle geplanten Aktivitäten als IS-Revisionsagenda in Form einer Liste angezeigt werden.
- Ein mit den Verantwortlichen der zu prüfenden Institution abgestimmter IS-Prüfplan enthält alle relevanten Angaben über die anstehende IS-Revision und kann allen Beteiligten zur Verfügung gestellt werden.
- Optional können die festgelegten und abgestimmten Prüftermine allen oder bestimmten Beteiligten per E-Mail zugestellt werden.
-
Dem IS-Revisionsteam steht eine Liste der für die Prüfung ausgewählten Anforderungen zur Verfügung. Anhand der Statusanzeige kann einfach festgestellt werden, welche der Anforderungen bereits abgearbeitet (GRÜN), in Bearbeitung (ORANGE) oder noch nicht begonnen (ROT) sind.
-
Die IS-Revision erfolgt über die Auswahl einer Anforderung. Angezeigt werden die Referenznummer und Bezeichnung der Anforderung. Die Feststellung und die Referenzdokumente/Nachweise (auch als Anhang) können dokumentiert werden.
- Der IS-Revisor dokumentiert die Feststellung, kann Nachweise der Feststellung als Anhang einfügen und abschließend die Frage gemäß der BSI-Bewertung nach Umsetzungsstatus und Sicherheitsmangel bewerten.
-
Dem IS-Revisionsteam stehen zwei Standard-Berichte zu Verfügung. Das sind eine Kurz- und eine detaillierte Fassung. Die Kurzfassung besteht aus dem Inhaltsverzeichnis, der Darstellung der organisatorischen Aspekte der IS-Revision, einer Zusammenfassung der Ergebnisse und der Bewertung der einzelnen Anforderungen der Bausteine mit den Feststellungen.
-
Die detaillierte Fassung listet zusätzlich die Bewertungen aller in der IS-Revision gestellten Fragen auf.
-
Die festgestellten Abweichungen werden aufgelistet und können involvierten Mitarbeiter für die Durchführung der Korrekturmaßnahmen zugeordnet werden.


AnwenderkreisDie GAP View Software kann wie folgt eingesetzt werden:
- Institutionen - Die Institution, z.B. eine Behörde ist der Lizenznehmer und organisiert eigene langfristige IS-Revisionsverfahren mit IS-Revisionen für alle Standorte. Die IS-Revisionspläne können pro Standort erstellt werden. Die Institution stellt die Software mit den dafür konzipierten Fragenkatalogen eigenen Lieferanten für die Durchführung von Lieferantenaudits zur Verfügung. Der Betrieb der Software erfolgt gemäß dem Lizenz- und Nutzungsvertrag in der Cloud (Hersteller) oder On-Prem (Institution) für eine lizensierte Anzahl von Lieferanten und Usern. Das gilt auch für Kritische Infrastrukturen (§ 2 Absatz 10 BSIG), mittelständische Unternehmen und sonstige öffentliche oder private Organisationen.
- Dienstleister (Auditoren/IS-Revisoren) - Der Dienstleister ist der Lizenznehmer und kann alle Audits/IS-Revisionen für beliebige Institutionen organisieren und durchführen. Der Betrieb der Software erfolgt gemäß dem Lizenz- und Nutzungsvertrag in der Cloud (Hersteller, Dienstleister) oder On-Prem (Dienstleister, Institution) für eine lizensierte Anzahl von Auditees und Benutzer.