Bundesamt für Sicherheit in der Informationstechnik

B 1.1 Organisation

Logo Organisation

Beschreibung

In diesem Baustein werden allgemeine und übergreifende Maßnahmen im Organisationsbereich aufgeführt, die als organisatorische Standardmaßnahmen zur Erreichung eines Mindestschutzniveaus erforderlich sind. Spezielle Maßnahmen organisatorischer Art, die in unmittelbarem Zusammenhang mit anderen Maßnahmen stehen ( z. B. LAN-Administration), werden in den entsprechenden Bausteinen aufgeführt. Auf das ordnungsgemäße Management informationstechnischer Komponenten (Hardware oder Software) ausgerichtete Standard-Sicherheitsmaßnahmen befinden sich im Baustein B 1.9 Hard- und Software-Management .

Gefährdungslage

In diesem Baustein werden für den IT-Grundschutz die folgenden typischen Gefährdungen betrachtet:

Organisatorische Mängel

G 2.1 Fehlende oder unzureichende Regelungen
G 2.2 Unzureichende Kenntnis über Regelungen
G 2.3 Fehlende, ungeeignete, inkompatible Betriebsmittel
G 2.5 Fehlende oder unzureichende Wartung
G 2.6 Unbefugter Zutritt zu schutzbedürftigen Räumen
G 2.7 Unerlaubte Ausübung von Rechten
G 2.8 Unkontrollierter Einsatz von Betriebsmitteln

Menschliche Fehlhandlungen

G 3.1 Vertraulichkeits- oder Integritätsverlust von Daten durch Fehlverhalten
G 3.6 Gefährdung durch Reinigungs- oder Fremdpersonal

Vorsätzliche Handlungen

G 5.1 Manipulation oder Zerstörung von Geräten oder Zubehör
G 5.2 Manipulation an Informationen oder Software
G 5.3 Unbefugtes Eindringen in ein Gebäude
G 5.4 Diebstahl
G 5.5 Vandalismus
G 5.6 Anschlag
G 5.16 Gefährdung bei Wartungs-/Administrierungsarbeiten
G 5.68 Unberechtigter Zugang zu den aktiven Netzkomponenten
G 5.102 Sabotage

Maßnahmenempfehlungen

Um den betrachteten Informationsverbund abzusichern, müssen zusätzlich zu diesem Baustein noch weitere Bausteine umgesetzt werden, gemäß den Ergebnissen der Modellierung nach IT-Grundschutz.

Ein Mindestschutzniveau kann in einer Institution nur erreicht werden, wenn übergreifende Regelungen zur Informationssicherheit verbindlich festgelegt werden. Hierzu sind eine Reihe von Maßnahmen umzusetzen, beginnend mit Festlegung und Zuweisung von verantwortlichen Personen für einzelne Objekte (z. B. Informationen, Geschäftsprozesse, Anwendungen, IT-Komponenten) über entsprechende organisatorische Handlungsanweisungen bis hin zur Behandlung von schützenswerten Betriebsmitteln. Die Schritte, die dabei im Sinne eines kontinuierlichen Informationssicherheitsprozesses durchlaufen werden sollten, sowie die Maßnahmen, die in den jeweiligen Schritten beachtet werden sollten, sind im Folgenden aufgeführt.

Planung und Konzeption

Für die Initiierung und die Umsetzung der sich aus den Sicherheitszielen und Sicherheitsrichtlinien ergebenden Prozesse sind organisatorische und personelle Festlegungen zu treffen. Hierbei sind gegebenenfalls die Mitbestimmungsrechte der Personalvertretung zu wahren (siehe M 2.40 Rechtzeitige Beteiligung des Personal-/Betriebsrates ). Die verschiedenen Organisationsebenen und die hier tätigen Personen benötigen konkrete Handlungsanweisungen und Verantwortlichkeiten zur Abwicklung der sie betreffenden Prozesse (siehe M 2.225 Zuweisung der Verantwortung für Informationen, Anwendungen und IT-Komponenten ).

Die strategischen Überlegungen sind in einem Betriebskonzept bezüglich ihrer Umsetzung im Unternehmen bzw. in der Behörde zu detaillieren.

Der Einsatz der erforderlichen Betriebsmittel ist auf die Aufgabenerfüllung und die Sicherheitsanforderungen abzustimmen und über eine Betriebsmittelverwaltung (siehe M 2.2 Betriebsmittelverwaltung ) zu dokumentieren. Diese muss vollständig sein und durch entsprechende Prozesse auch jederzeit aktuell gehalten werden.

Voraussetzung für eine funktionierende Infrastruktur, die auch auf Störungen adäquat reagieren kann, sind Regelungen für Ersatzteilbeschaffung, Reparaturen und Wartungsarbeiten (siehe M 2.4 Regelungen für Wartungs- und Reparaturarbeiten ). In Wartungsverträgen ist die terminliche und inhaltliche Wartung einzelner IT-Systeme (oder Gruppen) verbindlich zu regeln, ebenso wie die erforderlichen Zugänge (Remote, vor Ort) und die an die Sicherheitsanforderungen angepassten Reaktionszeiten des mit der Wartung beauftragten Personals.

Die Aufgabenverteilung und die hierfür erforderlichen Funktionen (siehe M 2.5 Aufgabenverteilung und Funktionstrennung ) sind so zu strukturieren, dass operative und kontrollierende Funktionen auf verschiedene Personen verteilt werden, um Interessenskonflikte bei den handelnden Personen zu minimieren oder ganz auszuschalten.

Betrieb

Die festgelegten Konzeptionen werden in konkrete Handlungsanweisungen gefasst und für den Betrieb verbindlich verabschiedet. Mitarbeiterbezogene Regelungen müssen hierbei die komplette Laufbahn eines Mitarbeiters in der Institution vom Eintritt bis zum Austritt betrachten. Durch Anwendung des Need-to-Know-Prinzips und des Vier-Augen-Prinzips ist sicher zu stellen, das Berechtigungen auf den verschiedenen Ebenen (z. B. Zutritt zu Räumen, Zugang zu Informationssystemen) zielgerichtet vergeben werden und auch praktikabel sind (siehe M 2.6 Vergabe von Zutrittsberechtigungen und M 2.7 Vergabe von Zugangsberechtigungen ).

Diese Berechtigungen sind zu dokumentieren und durch verschiedene Methoden zu unterstützen, wie z. B. kontrollierte und nachweisbare Ausgabe von Schlüsseln nur an Berechtigte, Authentisierung von Zugriffen, Zutrittskontrollsysteme für speziell gesicherte Bereiche und Kontrolle der Aktionen Betriebsfremder (siehe M 2.16 Beaufsichtigung oder Begleitung von Fremdpersonen ). Die Zuordnung von Personen oder Personengruppen zu Rollen erleichtert die Verwaltung von Berechtigungen (siehe M 2.8 Vergabe von Zugriffsrechten ). Werden Regelungen bewusst oder unbewusst verletzt, so müssen die hieraus ableitbaren Informations- und Eskalationsprozesse den Mitarbeitern bekannt sein, so dass eine zielgerichtete Reaktion auf die Verletzung erfolgen kann (siehe M 2.39 Reaktion auf Verletzungen der Sicherheitsvorgaben ).

Aussonderung

Datenträger, Betriebs- und Sachmittel, die besonderen Schutzbedingungen unterliegen, sind so zu entsorgen, dass keine Rückschlüsse auf ihre Verwendung oder Inhalte gemacht werden können (siehe M 2.13 Ordnungsgemäße Entsorgung von schützenswerten Betriebsmitteln ). Hierzu sind entsprechende Regelungen, gegebenenfalls auch mit externen Firmen, zu treffen. Entsprechende Bestimmungen des Datenschutzes sind zu beachten.

Nachfolgend wird das Maßnahmenbündel für den Bereich "Organisation" vorgestellt:

Planung und Konzeption

M 2.1 (A) Festlegung von Verantwortlichkeiten und Regelungen
M 2.2 (C) Betriebsmittelverwaltung
M 2.4 (B) Regelungen für Wartungs- und Reparaturarbeiten
M 2.5 (A) Aufgabenverteilung und Funktionstrennung
M 2.40 (A) Rechtzeitige Beteiligung des Personal-/Betriebsrates
M 2.225 (B) Zuweisung der Verantwortung für Informationen, Anwendungen und IT-Komponenten
M 2.393 (A) Regelung des Informationsaustausches

Betrieb

M 2.6 (A) Vergabe von Zutrittsberechtigungen
M 2.7 (A) Vergabe von Zugangsberechtigungen
M 2.8 (A) Vergabe von Zugriffsrechten
M 2.16 (B) Beaufsichtigung oder Begleitung von Fremdpersonen
M 2.18 (Z) Kontrollgänge
M 2.37 (C) Der aufgeräumte Arbeitsplatz
M 2.39 (B) Reaktion auf Verletzungen der Sicherheitsvorgaben
M 2.177 (Z) Sicherheit bei Umzügen
M 5.33 (B) Absicherung von Fernwartung

Aussonderung

M 2.13 (A) Ordnungsgemäße Entsorgung von schützenswerten Betriebsmitteln

Stand: 12. EL Stand 2011

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK