Was tun, wenn der Audit "droht"?
Dieser Tage habe ich folgende Anfrage bekommen:
Wir betreiben einen Server, über den man auf verschiedene Systeme bei sensiblen, öffentlichen Kunden zugreifen kann. Zu dem Server existiert eine technische Beschreibung, aber es gibt keine Beschreibung der zugehörigen Prozesse. Es sein kann, dass unser Kunde einen Audit nach dem IT-Grundschutzhandbuch bzw. nach der ISO 27001 fordert. Darauf wollen wir vorbereitet sein.
Wie können Sie uns helfen?
Trifft genau mein Tätigkeitsfeld :-) Meine Vorgehensweise wäre folgende:
Sowohl das Grundschutzhandbuch (GSHB) als auch die ISO 27001 legen viel Wert auf Verantwortung, Nachvollziehbarkeit und Kontrolle/Überprüfung. In diesem Fall würde ich daher folgendes tun:
die bestehenden Prozesse rund um den Server auf die technische Umsetzung und auf die drei genannten Punkte hin überprüfen und dokumentieren
Benutzerverwaltung
Security-Patches und Software-Updates
Admin-Berechtigungen
Abschottung vom restlichen Netzwerk (falls relevant)
...
Punkte im Prozess festlegen, an denen festgestellt werden kann, ob es Abweichungen vom Regelprozess gibt und ob der Prozess funktioniert oder verbessert werden muss (sog. Controls).
Die einen Server mit Benutzerverwaltung wäre eine typische "Control", regelmäßig zu prüfen, ob die berechtigten User noch Zugang haben dürfen. Dies dient gleichzeitig dazu, die nicht mehr berechtigten Accounts zu sperren, und dazu, zu erkennen, ob nicht mehr Berechtigte zeitnah gesperrt wurde. Beispiel: Wenn nach einem Jahr 20% der Benutzer nicht mehr berechtigt sind, funktioniert der Prozess nicht. Oder wenn über längere Zeit immer ein paar "durchrutschen".
die Verantwortlichkeiten festlegen
Ergänzend würde würde ich auch eine paar Kennzahlen entwickeln, um das Funktionieren der Prozesse "managebar" zu machen. Beispielsweise die Fehlerrate für die genannten Controls, oder statistische Auffälligkeiten: Benutzer die sich sehr häufig oder sehr selten anmelden (natürlich anonymisiert, da es sonst unerlaubte Leistungsüberwachung sein könnte).
Am Ende hätte der Auftraggeber ein Handbuch, mir dem er einen Audit überstehen sollte.