Wer macht was? Die Zuordnung der Maßnahmen

Hinter jeder Maßnahme sollte eine Person stehen, die in seiner Rolle Verantwortung trägt

Im Grundschutz Kompendium werden in den Anforderungen der Bausteine verantwortliche Rollen genannt. Diese Personen sind für die jeweilige Umsetzung der Anforderungen zuständig sind. Je nach Organisation oder Situation zusätzliche bzw. andere Ansprechpartner für den konkreten Fall zur Verfügung stehen. Diese ist es klar zu identifizieren und zuzuordnen.

/

BSI IT-GrundschutzDocuThemaGrundschutzApp

Bausteine

In einem unserer Lieblingsbausteine CON.10: Entwicklung von Webanwendungen ist der Fall klar. Es gibt nur einen verantwortliche Person, den/die Entwickler/in. Bei einem anderen Fall ist laut Grundschutz die Zuordnung komplexer. So ist z.B. beim Baustein DER.1: Detektion von sicherheitsrelevanten Ereignissen  werden bis zu fünf mögliche Verantwortliche genannt. Das könnten bis zu fünf Interviewpartner sein.
Und auch beim Baustein CON.10 gibt es vielleicht sogar ein Team von Entwickler/innen, wodurch die Ebene der Verantwortlichkeit plötzlich nicht mehr eindeutig ist. Ihr seht, es ist nicht immer einfach und eindeutig.

Rollen

Empfohlen ist die Zuordnung von Ansprechpartnern in Kombination mit Rollen. Die Ansprechpartner sowie Rollen sind Projektbestandteile und sollten im Vorfeld erfasst werden. Eine nachträgliche Erfassung ist jederzeit ergänzend möglich. 

Sind z.B. Rollen in den verschiedenen Projekten identisch, sollte über die Verwendung von Projektvorlagen nachgedacht werden.

Unüblich aber möglich, ist die Bearbeitung der Rollen auf der Ebene der Bausteine. Diese Möglichkeit wird trotzdem angeboten, um eventuelle individuelle Anforderungen an die eigene Grundschutzversion aufzunehmen.

Manuelle Zuordnung

Fangen wir mit einem nicht empfohlenen Vorgehen an ;-) Die manuelle Zuordnung erlaubt Euch, Personen und ihre Rollen für jede Maßnahme einzeln oder über die Mehrfachauswahl für mehrere Maßnahme diese Personen zuzuweisen.

  • Eine Maßnahme ist in Bearbeitung

In der Übersicht der Register wählt Ihr Verantwortliche aus. Hier könnt Ihr festzulegen, welche Person welche Rollen und damit Verantwortlichkeit bei dieser Maßnahmen hat. Mit dem Button Vorschlag BSI könnt Ihr die vom BSI Grundschutz vorgegebenen Einstellungen übernehmen. Nach der Übernahme könnt Ihr diese entsprechend verfeinern.

Mit der Plus-Schaltfläche werden Personen aufgenommen, mit Minus Personen entfernt. Die auf der Projektebene gepflegten Rollen stehen zur Auswahl zur Verfügung. Fehlende Rollen können im Bereich Rollenpflege ergänzt werden.

Oft enthalten die Maßnahmen mehrere Anforderungen. Ihr könnt gezielt Personen diesen einzelnen Personen zuordnen. Dieses Vorgehen bietet sich bei größeren Bausteinen an. 

  • Mehrere Maßnahmen

In der Übersicht der

  • Maßnahmen eines Baustein
  • Maßnahmen mehrerer Bausteine einer Bausteingruppe
  • Maßnahmen mehrerer Bausteine

Ist eine manuelle Zuordnung auch möglich. In der tabellarischen Übersicht wählt Ihr die gewünschten Bausteine aus. In der oberen Zeile erscheint das Auswahlfenster Verantwortliche. Aus der geöffneten Liste könnt Ihr die Personen auswählen und damit zuordnen.

Automatisierte Zuordnung

Noch schöner ist die automatisierte Zuordnung. Die Rollen sind im Projekt festgelegt oder aus der Projektvorlage übernommen worden. Ihr ergänzt dann im zweiten Schritt die Personen und ordnet diesen die Rollen zu.
Dann aktiviert Ihr mit Auswahl Automatische Zuordnung die entsprechende Übernahme der Einstellung.

Wenn mehrere Personen die gleiche Rolle haben, werden diese bei der Zuordnung entsprechend eingetragen. Gibt es für eine Rolle keine Person, dann wird diese nicht aufgeführt. Falls dies ein Problem sein sollte, könnt Ihr Euch eine Liste der (fehlenden) Zuordnungen im Reporting erstellen.

Gerade in größeren Unternehmen ist diese Zuordnung komplexer und weicht von den Vorgabe des BSI ab. Wichtig ist, dass Ihr keine Lücken im Bereich Verantwortliche habt und die korrekten Personen zugewiesen worden sind. Womit die oben erwähnte manuelle Zuordnung recht hilfreich ist.