Springe zum Hauptinhalt

Was tun, wenn der Audit "droht"?

Die­ser Ta­ge ha­be ich fol­gen­de An­fra­ge be­kom­men:

Wir be­trei­ben einen Ser­ver, über den man auf ver­schie­de­ne Sys­te­me bei sen­si­blen, öf­fent­li­chen Kun­den zu­grei­fen kann. Zu dem Ser­ver exis­tiert ei­ne tech­ni­sche Be­schrei­bung, aber es gibt kei­ne Be­schrei­bung der zu­ge­hö­ri­gen Pro­zes­se. Es sein kann, dass un­ser Kun­de einen Au­dit nach dem IT­-­Grund­schutz­hand­buch bzw. nach der ISO 27001 for­der­t. Dar­auf wol­len wir vor­be­rei­tet sein.

Wie kön­nen Sie uns hel­fen?

Trifft ge­nau mein Tä­tig­keits­feld :-) Mei­ne Vor­ge­hens­wei­se wä­re fol­gen­de:

So­wohl das Grund­schutz­hand­buch (GS­H­B) als auch die ISO 27001 le­gen viel Wert auf Ver­ant­wor­tung, Nach­voll­zieh­bar­keit und Kon­trol­le/­Über­prü­fung. In die­sem Fall wür­de ich da­her fol­gen­des tun:

die be­ste­hen­den Pro­zes­se rund um den Ser­ver auf die tech­ni­sche Um­set­zung und auf die drei ge­nann­ten Punk­te hin über­prü­fen und do­ku­men­tie­ren

  • Be­­nut­­zer­­ver­­wa­l­tung

  • Se­­cu­ri­­ty­­­-­­Pat­ches und Soft­wa­re­­-­­Up­da­tes

  • Ad­­min­­-­­­Be­rech­ti­­gun­­gen

  • Ab­­schot­tung vom rest­­li­chen Netz­­werk (falls re­le­vant)

  • ...

Punk­te im Pro­zess fest­le­gen, an de­nen fest­ge­stellt wer­den kann, ob es Ab­wei­chun­gen vom Re­gel­pro­zess gibt und ob der Pro­zess funk­tio­niert oder ver­bes­sert wer­den muss (so­g. Con­trol­s).

Die einen Ser­ver mit Be­nut­zer­ver­wal­tung wä­re ei­ne ty­pi­sche "Con­trol", re­gel­mä­ßig zu prü­fen, ob die be­rech­tig­ten User noch Zu­gang ha­ben dür­fen. Dies dient gleich­zei­tig da­zu, die nicht mehr be­rech­tig­ten Ac­counts zu sper­ren, und da­zu, zu er­ken­nen, ob nicht mehr Be­rech­tig­te zeit­nah ge­sperrt wur­de. Bei­spiel: Wenn nach ei­nem Jahr 20% der Be­nut­zer nicht mehr be­rech­tigt sin­d, funk­tio­niert der Pro­zess nicht. Oder wenn über län­ge­re Zeit im­mer ein paar "durch­rut­schen".

die Ver­ant­wort­lich­kei­ten fest­le­gen

Er­gän­zend wür­de wür­de ich auch ei­ne paar Kenn­zah­len ent­wi­ckeln, um das Funk­tio­nie­ren der Pro­zes­se "ma­na­ge­ba­r" zu ma­chen. Bei­spiels­wei­se die Feh­ler­ra­te für die ge­nann­ten Con­trol­s, oder sta­tis­ti­sche Auf­fäl­lig­kei­ten: Be­nut­zer die sich sehr häu­fig oder sehr sel­ten an­mel­den (na­tür­lich an­ony­mi­sier­t, da es sonst un­er­laub­te Leis­tungs­über­wa­chung sein könn­te).

Am En­de hät­te der Auf­trag­ge­ber ein Hand­buch, mir dem er einen Au­dit über­ste­hen soll­te.

Portrait von Hartmut Goebel

Hartmut Goebel

Diplom-Informatiker, CISSP, CSSLP, ISO 27001 Lead Implementer

Haben Sie noch Fragen?
Anruf oder Mail genügt:
  +49 871 6606-318
  +49 175 29 78 072
  h.goebel@goebel-consult.de