02.01.2006

Entwurf eines Telearbeitsplatzkonzeptes

Da ich letztens darum gebeten wurde, mir dazu mal ein paar Gedanken zu machen, hier ein kurzer Abriß dessen, was meines Erachtens in ein Telearbeitsplatzkonzept (hier kurz: TAPK) gehört. (Google wirft zum Stichwort bis dato nur einen Treffer aus, und das ist eine Pressemitteilung des Bayerischen Staatsministeriums für Wirtschaft, Verkehr und Technologie von 1999. Ich hätte ja wenigstens noch etwas aktuelleres aus dem BSI IT-GSHB erwartet...)

Es stellt kurz sich die Frage, ob es als eigenständiges Dokument kreiert oder als Kapitel/Zusatz zu einem bestehenden IT-Sicherheitskonzept (kurz: IT-Siko) verfasst werden soll. (Zum Aufbau eines IT-Siko und dem [von mir gemachten] Unterschied zu einer Sicherheitsanalyse werde ich mich wohl im Anschluß äussern.) Der Unterschied besteht prinzipiell nur aus dem Schreibaufwand, bei letzterem kann ich (hoffentlich) sehr viele Querverweise nutzen, während ich bei ersterem gezwungen werde, natürlich entsprechend mehr Material neu zusammenzutragen und aufzubereiten.

Aber zur Inhaltsstruktur, bei der ich mich (wie meistens bei mir) an der Grundform gemäß IT-GSHB orientiere:

1. Management Summary

Umfasst eine kurze wörtliche Beschreibung des Vorhabens, seiner Begründung/Motivation und seiner geplanten Struktur. Es soll einen einfachen Überblick auf maximal zwei Seiten A4 geben. Vielleicht auch ein ganz simpler Netzplan zur grafischen Verständnisförderung.


2. Strukturanalyse / IST-Situation
2.1 Anwendungen und Daten

Hier erfolgt eine Auflistung auf genutzte Anwendungen und Daten im Rahmen der Telearbeit; insbesondere mit Nennung des Schutzbedarfes zur Feststellung der Kritikalität. Wenn das TAPK als eigenständiges Dokument erstellt wird, oder als Anlage zu einem veralteten (>2 JAhre), GSHB-basierten IT-Siko erstellt wird, kann hier einer der grössten Aufwandsposten entstehen, da die Erfassung von Schutzbedarfen und deren Abgleich über Abteilungsgrenzen hinweg massiv Zeit frisst.

Sollte das TAPK als Kapitel im allgemeinen IT-Sicherheitskonzept auftauchen, bzw. eine Anlage dazu werden, so kann man hier sehr gut auf die relevanten Subkapitel referenzieren. Eine Begründung für den Ausschluss / Nicht-Ausschluss von Anwendungen bei (Nicht-)Nutzung von Anwendungen muss geliefert werden.

2.2 Ausprägung der Anbindungsformen

Da viele TAPK im Behördenbereich aufzutauchen scheinen (ja, man kann auch damit wunderbar VPN-Konzepte für RoadWarrior oder die Support-VPN-Anbindungen für den IT-Stab oder den Home-Zugriff für die Geschäftsführung regeln, aber die meisten KMU regeln das ja eher mündlich/unter der Hand, und erstellen dokumentierte Konzepte erst, wenn Sie jemand dazu zwingt...), sind oftmals gemischte Zugangsformen vorherrschend - sprich: es existieren bereits verschiedene Formen des Remote Access und man befindet sich (oftmals) im Übergang zu einer einheitlichen Lösung, muss aber die existenten Formen noch weiterführen. Natürlich ist damit auch bis dato irgendwie immer unterschiedliche Hardware auf Clientseite, sowie divergierende Eintrittspunkte im LAN verbunden. Ergo, eine separate Betrachtung der einzelnen Techniken.

Sollte eine oder mehrere der Alt-Techniken in absehbarer Zukunft abgeschaltet werden, so sollte dies mit Nennung des avisierten Stichtages vermerkt werden, aus meiner Sicht kann dann auf eine weitere Betrachtung verzichtet werden. Die folgende Struktur geht darauf ein, und führt eine in Kürze obsolet werdende ISDN-Lösung auf, welche durch ein VPN auf DSL abgelöst wird.

2.2.1. ISDN-Callback
2.2.1.1 IT-Systeme
Details der Hardware gemäß http://www.bsi.de/gshb/deutsch/baust/02001.html, es kann auch ein Querverweis auf die relevanten Teile im allg. IT-Siko stattfinden.

2.2.1.2 Beschreibung des Kommunikationsweges
Netzplan, mit Hervorhebung des Eintrittspunktes der Telearbeiter ins LAN, sowie Nennung verwendeter Parameter (Techniken, Optionen, whatever.)

Hinweis auf kommende Ablösung und daraus resultierende Nicht-Betrachtung.


2.2.2. DSL-VPN
2.2.2.1. IT-Systeme
Details der Hardware, wie in 2.2.1.1.

2.2.2.2. Beschreibung des Kommunikationsweges
Detaillierter Netzplan mit Nennung benutzter Technologien, Verschlüsselungen, Kommunikationspartner, etc.
Dazu sollte dann ebenfalls eine Beschreibung gehören, was der Eintrittspunkt ins LAN ist, ob und wie gefiltert wird, ob der Zugriff auf bestimmte Ressourcen (nur für TAP freigegebene Server; alle Server, aber keine Clients; full access; ...) eingeschränkt wird, etc. Hier können und sollten auch halt bereits existente Sicherungsmassnahmen herausgestellt werden.


3. Nennung anwendbarer/anzuwendender Richtlinien

Je nach Organisationsform ist es wahrscheinlich, das eine oder gar mehrere Richtlinien, Gesetze, Verordnungen oder Standards beachtet werden wollen bzw. sollen. Für öAG sind im Allgemeinen das GSHB sowie das BDSG verpflichtend, desweiteren können Landesdatenschutzgesetze hereinspielen, sowie interne Vorgaben oder Richtlinien des BMWA. Die Wehrtechnik bekommt dann meistens Kontakt zu den Allgemeinen Umdrucken AU 260 (Abstrahlsicherheit), AU 261 (Rot-Schwarz-Trennung) sowie der zentralen Dienstvorschrift 54/100 ("IT-Sicherheit in der Bundeswehr"). KMU orientieren sich dann gerne an Vorgaben des Duos ISO 17799/ISO 27001 (ex-BS 7799 Part 1&2), auch Teile der ISO 9001 können eine Rolle spielen. SLAs kommen dann bei Zulieferen auch ganz schnell ins Spiel.

Effektiv fasst dieser Bereich die Punkte Modellierung und Basis-Sicherheitscheck des GSHB zusammen, da die zu beachtenden Regelungen aufgezählt werden, sowie die diese abdeckende Massnahme(n).

3.1 BSI IT-Grundschutzhandbuch
Auswahl und Begründung der relevanten Bausteine (zumeist "4.5 Häuslicher Arbeitsplatz" , "7.6 Remote Access" , "8.4 LAN-Anbindung eines IT-Systems über ISDN" und "9.3 Telearbeit" ), sowie nachvollziehbare Begründung bei Nicht-Zutreffens/Entfallens einer Massnahme. Der Verweis auf einen bereits existierenden Basis-Sicherheitscheck kann erfolgen, jedoch kann hierbei dann eine Aktualisierung nötig sein.


4. Nennung daraus resultierend offener Risiken

Dies lässt sich als Mix aus 2.5 Ergänzende Sicherheitsanalyse und 2.6 Realisierung von IT-Sicherheitsmaßnahmen auffassen. Hier erfolgt eine zusammenfassende Bewertung der Richtlinienumsetzung und Nennung der offenstehenden Risiken bzw. "Baustellen". Hierbei sollte wirklich auch eine saubere Risikobetrachtung erfolgen, was aufgrund welchen Fehlens passieren könnte, und was die daraus resultierenden Folgen sein dürften. Und dann natürlich das Vorschlagen einer Gegenmassnahme, die am besten diesen Pfad entgegenwirken würde.

Hier wird die Forderung nach einem höheren Budget oder "shiny gadgets" gestellt - und/oder einer schriftlichen Bestätigung eines/der Vorgesetzten, das diese Risikodarstellung wahrgenommen wurde, und das offenbleibende Risiko als tolerabel eingestuft wird. (Stichwort: Verantwortlichkeitsübergang)

Drucken, in den Verteiler geben und auf Bestätigung und Umsetzungsanordnung durch Geschäftsführung warten :-)

Trackbacks

Aufbau eines IT-Sicherheitskonzeptes

rant machine? / 07.02.2006, 23:00

Wie schonmal im Rahmen der Beschreibung zum Aufbau eines Telearbeitsplatzkonzeptes versprochen, hier meine paar kleinen Gedanken zum Aufbau eines IT-Sicherheitskonzeptes. (Wobei ich inzwischen aufgrund der Schulung wohl eigentlich von einem...

Kommentare

[←neuere Einträge] [ältere Einträge→]