Diskussion:Grundschutz/Vorgehen

Aus Foxwiki

Beschreibung

Mit welchen Maßnahmen die in der Leitlinie zur Informationssicherheit vorgegebenen Ziele und Strategien verfolgt werden sollen, wird in einem Sicherheitskonzept beschrieben.

  • Ein solches Sicherheitskonzept hat immer einen festgelegten Geltungsbereich.
  • Dieser wird in der -Grundschutz-Methodik als Informationsverbund bezeichnet.

Festlegung des Informationsverbundes

Informationsverbund - Im IT-Grundschutz betrachteter Bereich

Beschreibung

IT-Sicherheitsanalyse und IT-Sicherheitskonzeption

  • Informationstechnik ist durch vernetzte IT-Systeme geprägt
Gesamte IT betrachten
  • Nicht einzelne IT-Systeme
Teilverbünde definieren

Teile und Herrsche

  • Um diese Aufgabe bewältigen zu können, ist es sinnvoll
  • IT-Struktur in logisch getrennte Teile zerlegen
  • Jeweils einen Teil (Informationsverbund) getrennt betrachten
Ausprägungen

Informationsverbund

  • gesamte IT einer Institution
  • einzelne Bereiche
Gliederung
  • Organisatorische Strukturen
z. B. Abteilungsnetz
z. B. Personalinformationssystem
IT-Strukturanalyse
  • Detaillierte Informationen über die Struktur des Informationsverbundes
  • Voraussetzung für die Anwendung des IT-Grundschutz/Kompendiums
Komponenten
Komponente Beschreibung
Infrastruktur
Organisation
Personen
Technik

Festlegung eines Informationsverbundes

Größe

Sinnvolle Mindestgröße
  • Für eine umfassende Sicherheit ist die gesamte Institution zu betrachten
Größeren Institutionen

Insbesondere bei größeren Institutionen und dann, wenn Sicherheitsmaßnahmen bislang eher punktuell und ohne ein zugrunde liegendes systematisches Konzept vorgenommen wurden, ist es allerdings oft praktikabler sich (zunächst) auf Teilbereiche zu konzentrieren.

Teilbereiche

Gut abgrenzbar
  • organisatorischen Strukturen
  • Anwendungen
  • Wesentliche Aufgaben und Geschäftsprozesse der Institution umfassen
Sinnvolle Teilbereiche
  • Organisationseinheiten
  • Geschäftsprozesse/Fachaufgaben

Einzelne Clients, Server oder Netzverbindungen sind als Untersuchungsgegenstand ungeeignet

Schnittstellen

Bei der Definition des Informationsverbundes müssen Schnittstellen genau beschrieben werden

  • Insbesondere bei der Zusammenarbeit mit externer Partnern

Erstaufnahme des Informationsverbundes

In der initialen Phase des Sicherheitsprozesses ist es nicht erforderlich, Anwendungen und -Infrastruktur detailliert zu beschreiben.
  • Zunächst geht es vielmehr darum, besonders wichtige Geschäftsprozesse, die im Geltungsbereich des Konzepts angesiedelt sind, hinsichtlich ihrer Anforderungen an die Informationssicherheit zu charakterisieren.
  • Dabei reicht es zu wissen, welche Prozesse sehr hohe, hohe oder lediglich normale Schutzanforderungen haben.
Erstaufnahme des Informationsverbundes

Auf dieser Basis wird dann eine Erstaufnahme des Informationsverbundes angefertigt

Folgende Informationen und Detailangaben müssen dabei strukturiert ( tabellarisch) zusammengetragen werden
  • Geschäftsprozesse im Informationsverbund (Name, Beschreibung, fachverantwortliche Stelle),
  • Anwendungen in diesen Prozessen (Name und Beschreibungen),
  • -Systeme und -Komponenten (Name, Systemplattform und eventuell Aufstellungsort),
  • für den Informationsverbund wichtige Räume wie Rechenzentrum oder Serverräume (Art, Raumnummer und Gebäude) sowie
  • virtuelle Systeme (entsprechend gekennzeichnet und benannt).

Ein grafischer Netzplan ist eine hilfreiche Ergänzung zur tabellarischen Zusammenstellung der -Systeme

Die ermittelten Komponenten, wie auch der Informationsverbund als Ganzes, sind Zielobjekte des Sicherheitskonzepts
  • Bereits vor dessen eigentlicher Entwicklung sollten Sie einschätzen, welches Schutzniveau für die verschiedenen Zielobjekte erforderlich ist, die Sie bei der Erstaufnahme identifiziert haben.


Wahl der Vorgehensweise

Bevor diese Ergebnisse detailliert werden, ist eine Entscheidung über die Vorgehensweise erforderlich.

  • Die -Grundschutz-Methodik sieht hierfür drei Varianten vor, zwischen denen sich eine Institution abhängig von ihren spezifischen Gegebenheiten entscheiden kann.
  • Diese drei Varianten unterscheiden sich in der Breite und Tiefe der umgesetzten Schutzmaßnahmen:
  • Die Basis-Absicherung ist für Institutionen interessant, die einen Einstieg in den -Grundschutz suchen und schnell alle relevanten Geschäftsprozesse mit Basismaßnahmen absichern möchten.
  • Die Kern-Absicherung lenkt die Sicherheitsmaßnahmen auf die „Kronjuwelen“ einer Institution, also besonders wichtige Geschäftsprozesse und Assets.
  • Diese Variante zielt damit auf die vertiefte Absicherung der kritischsten Bereiche ab.
  • Die Standard-Absicherung entspricht der empfohlenen -Grundschutz-Vorgehensweise (vgl. früherer BSI-Standard 100-2).
  • Sie hat einen umfassenden Schutz für alle Prozesse und Bereiche der Institution als Ziel.

Sowohl die Basis- als auch die Kern-Absicherung können als Einstieg und Grundlage für eine umfassende Absicherung nach -Grundschutz dienen.

In diesem Kurs wird die Vorgehensweise der Standard-Absicherung beschrieben, und dabei, falls sinnvoll, auch auf die beiden anderen Varianten verwiesen.

  • Die folgende Abbildung zeigt die zugehörigen Schritte:

Die drei Varianten der -Grundschutz-Methodik werden in den Kapiteln 6, 7 und 8 des -Standards 200-2 detailliert dargestellt.

IT-Grundschutzvorgehensweise

Arbeitsschitt Beschreibung
1 Informationsverbund Geltungsbereich festlegen
2 Absicherung-Varianten Absicherung
3 Strukturanalyse Strukturanalyse
3 Schutzbedarf Schutzbedarf
4 Modellierung Modellierung
5 IT-Grundschutz-Check IT-Grundschutz-Check
6 Risikoanalyse Verbleibende Risiken managen
7 Maßnahmen konsolidieren Maßnahmen konsolidieren
8 Umsetzung Umsetzung der Maßnahmen


Anhang

Siehe auch

Links
Weblinks

TMP

Beschreibung

Mit welchen Maßnahmen die in der Leitlinie zur Informationssicherheit vorgegebenen Ziele und Strategien verfolgt werden sollen, wird in einem Sicherheitskonzept beschrieben.

  • Ein solches Sicherheitskonzept hat immer einen festgelegten Geltungsbereich.
  • Dieser wird in der -Grundschutz-Methodik als Informationsverbund bezeichnet.

Festlegung des Informationsverbundes

Informationsverbund - Im IT-Grundschutz betrachteter Bereich

Beschreibung

IT-Sicherheitsanalyse und IT-Sicherheitskonzeption

  • Informationstechnik ist durch vernetzte IT-Systeme geprägt
Gesamte IT betrachten
  • Nicht einzelne IT-Systeme
Teilverbünde definieren

Teile und Herrsche

  • Um diese Aufgabe bewältigen zu können, ist es sinnvoll
  • IT-Struktur in logisch getrennte Teile zerlegen
  • Jeweils einen Teil (Informationsverbund) getrennt betrachten
Ausprägungen

Informationsverbund

  • gesamte IT einer Institution
  • einzelne Bereiche
Gliederung
  • Organisatorische Strukturen
z. B. Abteilungsnetz
z. B. Personalinformationssystem
IT-Strukturanalyse
  • Detaillierte Informationen über die Struktur des Informationsverbundes
  • Voraussetzung für die Anwendung des IT-Grundschutz/Kompendiums
Komponenten
Komponente Beschreibung
Infrastruktur
Organisation
Personen
Technik

Festlegung eines Informationsverbundes

Größe

Sinnvolle Mindestgröße
  • Für eine umfassende Sicherheit ist die gesamte Institution zu betrachten
Größeren Institutionen

Insbesondere bei größeren Institutionen und dann, wenn Sicherheitsmaßnahmen bislang eher punktuell und ohne ein zugrunde liegendes systematisches Konzept vorgenommen wurden, ist es allerdings oft praktikabler sich (zunächst) auf Teilbereiche zu konzentrieren.

Teilbereiche

Gut abgrenzbar
  • organisatorischen Strukturen
  • Anwendungen
  • Wesentliche Aufgaben und Geschäftsprozesse der Institution umfassen
Sinnvolle Teilbereiche
  • Organisationseinheiten
  • Geschäftsprozesse/Fachaufgaben

Einzelne Clients, Server oder Netzverbindungen sind als Untersuchungsgegenstand ungeeignet

Schnittstellen

Bei der Definition des Informationsverbundes müssen Schnittstellen genau beschrieben werden

  • Insbesondere bei der Zusammenarbeit mit externer Partnern

Erstaufnahme des Informationsverbundes

In der initialen Phase des Sicherheitsprozesses ist es nicht erforderlich, Anwendungen und -Infrastruktur detailliert zu beschreiben.
  • Zunächst geht es vielmehr darum, besonders wichtige Geschäftsprozesse, die im Geltungsbereich des Konzepts angesiedelt sind, hinsichtlich ihrer Anforderungen an die Informationssicherheit zu charakterisieren.
  • Dabei reicht es zu wissen, welche Prozesse sehr hohe, hohe oder lediglich normale Schutzanforderungen haben.
Erstaufnahme des Informationsverbundes

Auf dieser Basis wird dann eine Erstaufnahme des Informationsverbundes angefertigt

Folgende Informationen und Detailangaben müssen dabei strukturiert ( tabellarisch) zusammengetragen werden
  • Geschäftsprozesse im Informationsverbund (Name, Beschreibung, fachverantwortliche Stelle),
  • Anwendungen in diesen Prozessen (Name und Beschreibungen),
  • -Systeme und -Komponenten (Name, Systemplattform und eventuell Aufstellungsort),
  • für den Informationsverbund wichtige Räume wie Rechenzentrum oder Serverräume (Art, Raumnummer und Gebäude) sowie
  • virtuelle Systeme (entsprechend gekennzeichnet und benannt).

Ein grafischer Netzplan ist eine hilfreiche Ergänzung zur tabellarischen Zusammenstellung der -Systeme

Die ermittelten Komponenten, wie auch der Informationsverbund als Ganzes, sind Zielobjekte des Sicherheitskonzepts
  • Bereits vor dessen eigentlicher Entwicklung sollten Sie einschätzen, welches Schutzniveau für die verschiedenen Zielobjekte erforderlich ist, die Sie bei der Erstaufnahme identifiziert haben.


Erstaufnahme des Informationsverbundes

IT-Grundschutz/Informationsverbund#Erstaufnahme_des_Informationsverbundes

Wahl der Vorgehensweise

Bevor diese Ergebnisse detailliert werden, ist eine Entscheidung über die Vorgehensweise erforderlich.

  • Die -Grundschutz-Methodik sieht hierfür drei Varianten vor, zwischen denen sich eine Institution abhängig von ihren spezifischen Gegebenheiten entscheiden kann.
  • Diese drei Varianten unterscheiden sich in der Breite und Tiefe der umgesetzten Schutzmaßnahmen:
  • Die Basis-Absicherung ist für Institutionen interessant, die einen Einstieg in den -Grundschutz suchen und schnell alle relevanten Geschäftsprozesse mit Basismaßnahmen absichern möchten.
  • Die Kern-Absicherung lenkt die Sicherheitsmaßnahmen auf die „Kronjuwelen“ einer Institution, also besonders wichtige Geschäftsprozesse und Assets.
  • Diese Variante zielt damit auf die vertiefte Absicherung der kritischsten Bereiche ab.
  • Die Standard-Absicherung entspricht der empfohlenen -Grundschutz-Vorgehensweise (vgl. früherer BSI-Standard 100-2).
  • Sie hat einen umfassenden Schutz für alle Prozesse und Bereiche der Institution als Ziel.

Sowohl die Basis- als auch die Kern-Absicherung können als Einstieg und Grundlage für eine umfassende Absicherung nach -Grundschutz dienen.

In diesem Kurs wird die Vorgehensweise der Standard-Absicherung beschrieben, und dabei, falls sinnvoll, auch auf die beiden anderen Varianten verwiesen.

  • Die folgende Abbildung zeigt die zugehörigen Schritte:

Die drei Varianten der -Grundschutz-Methodik werden in den Kapiteln 6, 7 und 8 des -Standards 200-2 detailliert dargestellt.

IT-Grundschutzvorgehensweise

Arbeitsschitt Beschreibung
1 Informationsverbund Geltungsbereich festlegen
2 Absicherung-Varianten Absicherung
3 Strukturanalyse Strukturanalyse
3 Schutzbedarf Schutzbedarf
4 Modellierung Modellierung
5 IT-Grundschutz-Check IT-Grundschutz-Check
6 Risikoanalyse Verbleibende Risiken managen
7 Maßnahmen konsolidieren Maßnahmen konsolidieren
8 Umsetzung Umsetzung der Maßnahmen