Zum Hauptinhalt springen

IT-Grundschutz-Check

Der IT-Grundschutz-Check in grcproxy unterstützt Sie bei der Umsetzung der Maßnahmen aus dem BSI IT-Grundschutz-Kompendium und bildet den Kern des ISMS-Betriebs.

Basis-Check vs. Standard-Check

Im System stehen zwei Modi zur Verfügung:

  • Basis-Check
    Zeigt nur die Basismaßnahmen an, die für alle Assets zu erfüllen sind.

  • Standard-Check
    Beinhaltet zusätzlich Standard- und erweiterte Maßnahmen, die insbesondere für Assets mit erhöhtem Schutzbedarf relevant sind.

Für Objekte mit Schutzbedarf Hoch oder Sehr Hoch sollten idealerweise neben den Basismaßnahmen auch alle erweiterten Maßnahmen umgesetzt werden.

Übersicht der Oberfläche

Die Oberfläche listet alle Assets inklusive des virtuellen Objekts Informationsverbund übersichtlich auf.

Für jedes Asset werden die zugeordneten Controls und deren Maßnahmen dargestellt.

Der Umsetzungsgrad der Maßnahmen wird farbcodiert in den Überschriften der Maßnahmen angezeigt, um den Status schnell erfassen zu können.

Maßnahmenbearbeitung

Dokumentation des IST-Zustands

Initial ist dem System jeglicher Umsetzungsstatus unbekannt, darum muss dieser zunächst dokumentiert werden. Betroffene Maßnahmen sind entsprechend markiert und die Dokumentation des Umsetzungsstatus gilt als ausstehend.

Die Dokumentation kann jederzeit durch das Anwählen der jeweiligen Maßnahme durchgeführt werden. Ein entsprechendes Benutzerinterface leitet durch diesen Prozess und erfragt die folgenden Informationen:

  • Erläuterungen (Freitext)
  • Umsetzungsstatus (Dropdown mit Werten: unbearbeitet, entbehrlich, teilweise umgesetzt, vollständig umgesetzt, nicht umgesetzt)
  • Verantwortlicher (Auswahl aus Benutzerverwaltung)

Die Maßnahme gilt als erledigt, wenn der Status als entbehrlich oder vollständig umgesetzt dokumentiert wurde. Erledigte Maßnahmen werden erst nach Ablauf des Review-Intervalls (typisch 1 Jahr) erneut als ToDo aktiviert.

Wird eine nicht vollständige Umsetzung dokumentiert, so wird die Umsetzung unmittelbar zu einer ausstehenden Aufgabe und muss ihrerseits entsprechend dokumentiert werden (siehe nächster Abschnitt).

Dokumentation der Umsetzung

Wird eine Maßnahme im Rahmen der Dokumentation des IST-Zustands oder der Dokumentation eines Reviews als nicht oder unzureichend umgesetzt dokumentiert, so wird Umsetzung unmittelbar zu einer ausstehenden Aufgabe.

Diese Aufgabe kann jederzeit durch das Anwählen der jeweiligen Maßnahme durchgeführt werden. Ein entsprechendes Benutzerinterface leitet durch diesen Prozess und erfragt die folgenden Informationen:

  • Erläuterungen
  • Umsetzungsstatus (Dropdown mit Werten: unbearbeitet, geplant, verzögert, in Bearbeitung, fertiggestellt)
  • Verantwortlicher

Erst mit dem Umsetzungsstatus fertiggestellt gilt die Maßnahme als vollständig umgesetzt und das ToDo gilt bis zum nächsten Review als erledigt.

Dokumentation des Reviews

Nach Erreichen des Reviewintervalls (typisch 1 Jahr) wird ein Review der jeweiligen Maßnahme für das betroffene Objekt als ToDo gekennzeichnet. Hierbei gilt es nun ein erneutes Audit durchzuführen, dieses zu dokumentieren und entsprechende Folgeschritte abzuleiten.

Diese Aufgabe kann jederzeit durch das Anwählen der jeweiligen Maßnahme durchgeführt werden. Ein entsprechendes Benutzerinterface leitet durch diesen Prozess und erfragt die folgenden Informationen:

  • Erläuterungen (Freitext)
  • Umsetzungsstatus (Dropdown mit Werten: unbearbeitet, in Ordnung, benötigt leichte Anpassung, benötigt umfassende Überarbeitung, entspricht nicht den Anforderungen)
  • Verantwortlicher

Ist das Review fertiggestellt, so gestalten sich die Weiteren Schritte abhängig vom Review-Ergebnis:

  • in Ordnung: Review abgeschlossen, Maßnahme bleibt umgesetzt und gilt bis zum nächsten Review als erledigt.
  • Benötigt Anpassung, Überarbeitung oder entspricht nicht Anforderungen: Erzeugt ein neues Umsetzungs-ToDo.

🔁 PDCA-Zyklus im IT-Grundschutz-Check

Der IT-Grundschutz-Check ist ein iterativer Prozess, der im Rahmen des übergeordneten PDCA-Zyklus (Plan-Do-Check-Act) stattfindet.

Die kontinuierliche Verbesserung des ISMS wird dabei im Kapitel PDCA-Zyklus umfassend beschrieben.

Im IT-Grundschutz-Check werden Maßnahmen geplant, umgesetzt, überprüft und bewertet, um den Schutzbedarf Ihrer IT-Assets systematisch zu erfüllen und zu optimieren.