IT-Grundschutz/Modellierung: Unterschied zwischen den Versionen

Aus Foxwiki
Markierung: Neue Weiterleitung
 
K Textersetzung - „[[Grundschutz“ durch „[[IT-Grundschutz“
 
(182 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
#WEITERLEITUNG [[:Kategorie:Grundschutz/Modellierung]]
'''IT-Grundschutz Modellierung''' - Zuordnung von Grundschutz-Bausteinen zu Zielobjekte
=== Beschreibung ===
; IT-Grundschutz-Modell für einen [[Informationsverbund]] erstellen
* Sicherheitsanforderungen für Zielobjekte bestimmen
* Abhängigkeiten berücksichtigen
 
; Entwicklung des Grundschutz-Modells
Auf Basis des [[IT-Grundschutz/Kompendium]]s
 
; Modellierung
Anwendung der Bausteine IT-Grundschutz/Kompendiums auf die Komponenten eines Informationsverbundes
 
; IT-Grundschutz-Modell
{| class="wikitable options"
|-
! Ergebnis !! Beschreibung
|-
| Prüfplan || Bestehende Systeme und Verfahren
|-
| Entwicklungskonzept || Geplante Teile des Informationsverbundes
* Berücksichtigung der Informationssicherheit bei Einführung neuer Elemente
|}
 
=== Vorarbeiten ===
{| class="wikitable options big"
|-
! Arbeitsschritte !! Beschreibung
|-
| [[IT-Grundschutz/Informationsverbund| Informationsverbund]] || Definition des Geltungsbereiches des Sicherheitskonzeptes
|-
| [[IT-Grundschutz/Strukturanalyse|Strukturanalyse]] || Identifikation der Zielobjekte
|-
| [[IT-Grundschutz/Schutzbedarfsfeststellung|Schutzbedarfsfeststellung]] || Schutzbedarf für Zielobjekte bestimmen
|}
 
=== Vorgehen ===
==== Grundschutz-Bausteine ====
; Auswahl Grundschutz-Bausteine
Welche Bausteine sind anzuwenden?
* Schichten
* Zielobjekte
 
; Ideal
* Alle [[Zielobjekt]]e des [[Informationsverbund]]es werden angemessen durch Grundschutz-Bausteine abgebildet
 
==== Kein passender Baustein ====
Kein passender Baustein für Zielobjekt
; [[IT-Grundschutz/Risikomanagement|Risikoanalyse]] erforderlich
* Gefährdungen und Sicherheitsanforderungen identifizieren
* Dokumentation in einem [[Benutzerdefinierten Baustein]]
 
==== Abgrenzung von Bausteinen ====
Nicht jeder Baustein ist relevant
 
; Beispiele
# Baustein ''[[CON.7]] Informationssicherheit auf Auslandsreisen''
#: nur anzuwenden, wenn solche Reisen im [[Informationsverbund]] vorkommen
# Technischer Bausteine
#* Nur anzuwenden, wenn diese IT-Systemen eingesetzt werden
#* z.B. SYS.2.2.2 C''lients unter Windows 8.1''
 
; Hinreichende Begründung
* Geben Sie in solchen Fällen eine hinreichende Begründung für die Nichtanwendung eines Bausteins an
* Kurz und aussagekräftig
 
=== Prozessorientierte Bausteine ===
; Technischen Aspekten übergeordnet
* Einheitlich Regelung je [[Informationsverbund]]
 
; Anwendung
* Einmal pro [[Informationsverbund]]
 
; Wichtige Bausteine
* [[ISMS.1 Sicherheitsmanagement|Informationssicherheitsmanagement]]
* [[Organisation des IT-Betriebs]]
* [[Schulung und Sensibilisierung des Personals]]
* [[Detektion und Reaktion auf Sicherheitsvorfälle]]
 
=== Systemorientierte Bausteine ===
==== Anwendung ====
; Technische Objekte
* Auf jedes System (Gruppe) einmal anwenden, das im Baustein adressiert wird
 
; Mögliche Objekte
* Anwendungen
* IT-Systeme (z.B. Client, Server oder mobile Geräte)
* Objekte aus dem Bereich der industriellen IT
* Netze
* Infrastrukturobjekte (Räume, Rechenzentrum, Verkabelung)
 
==== Mehrere Bausteine ====
; Meist sind für IT-Systeme mehrere Bausteine anzuwenden
* Alle Sicherheitsanforderungen angemessen berücksichtigen
 
; Betriebssystemunabhängige Bausteine
Grundsätzliche Sicherheitsanforderungen
* SYS.2.1 ''Allgemeiner Client''
* SYS.1.1 ''Allgemeiner Server''
 
; Betriebssystemspezifische Bausteine
Anforderungen für einzelne Betriebssysteme
* SYS.2.2.3 ''Client unter Windows 10''
* SYS.1.2.2 ''Windows Server 2012''
* ...
 
; <nowiki>Beispiel: Webserver</nowiki>
Webserver mit Unix
* SYS.1.1 ''Allgemeiner Server''
* SYS.1.3 ''Server unter Unix''
* APP.3.2 ''Webserver''
 
==== Virtuelle Systeme ====
; ''Virtuelle Systeme'' werden modelliert wie physische Systeme
* System
* Betriebssystem
* Anwendungen
* Dienste
 
; Beispiel
Wird ein Unix-Server als Virtualisierungsserver betrieben, so sind folgende Bausteine anzuwenden
* SYS.1.1 ''Allgemeiner Server''
* SYS.1.3 ''Server unter Unix'' und
* SYS.1.5 ''Virtualisierung''
 
; Physischen Server
Zusätzlich sind für jeden auf diesem physischen Server bereitgestellten virtuellen Server die üblichen Bausteine für Server anzuwenden.
 
; Bare Metal Server
Für auf spezieller Hardware beruhende Virtualisierungsserver (sogenannte Bare Metal Server) gibt es keinen passenden Grundschutz-Baustein.
* Solche IT-Systeme sind daher für eine Risikoanalyse vorzumerken
 
=== Dokumentation ===
; Beispiel
* In der Spalte ''Relevanz'' vermerken Sie, ob Bausteine für den Informationsverbund von Bedeutung sind oder nicht.
* Diese Entscheidung können Sie unter ''Begründung'' näher erläutern.
 
; Baustein nicht relevant
* Hinreichende Begründung unabdingbar!
 
; Dokumentation der Modellierung
{| class="wikitable options"
|-
! Baustein !! Zielobjekte !! Relevanz !! Begründung !! Ansprechpartner
|-
| APP.5.2 Microsoft Exchange/Outlook || || Ja || || [[IT-Betrieb]]
|-
| INF.1 Allgemeines Gebäude || || Ja || || [[Haustechnik]]
|-
| INF.2 Rechenzentrum sowie Serverraum || || Ja || || [[IT-Betrieb]]
|-
| INF.4 IT-Verkabelung || Informationsverbund || Ja || ||
|-
| INF.7 Büroarbeitsplatz || bis || Ja || ||
|-
| INF.8 Häuslicher Arbeitsplatz || || Ja || Die Vertriebsbüros werden wie Home Offices behandelt. ||
|-
| IND.2.2 Speicherprogrammierbare Steuerung (SPS) || || Ja || ||
|-
| SYS.1.5 Virtualisierung || || Ja || || [[IT-Betrieb]]
|-
| SYS.3.1 Laptops || bis || Ja || || [[IT-Betrieb]]
|-
|| OPS.3.1 Outsourcing für Dienstleister || || Nein || Solche Dienste werden nicht angeboten. ||
|-
|}
 
Siehe auch Modellierung für die [[RECPLAST]]
 
== Anforderungen anpassen ==
; Grundschutz-Bausteine beschreiben Anforderungen
MUSS / SOLLTE
* ''was'' zu geschehen ist
* nicht aber, ''wie'' dies zu erfolgen hat
 
; Sicherheitsmaßnahmen
* Für die Ausarbeitung von Sicherheitskonzepten
* wie auch für ein Prüfkonzept
* ist es notwendig
* zu den einzelnen Anforderungen
* Geeignete Sicherheitsmaßnahmen formulieren
 
; Umsetzungshinweise
* Als Hilfsmittel hierfür gibt es zu den meisten Bausteinen des Grundschutz-Kompendiums [[Umsetzungshinweise]]
 
; Angemessene Maßnahmen
{| class="wikitable options"
|-
! Bewertung !! Beschreibung
|-
| wirksam || Vor möglichen Gefährdungen schützen und den festgelegten identifizierten Schutzbedarf abdecken
|-
| geeignet || Tatsächlich umsetzbar sein, ohne
* Organisationsabläufe unverhältnismäßig zu behindern
* Andere Sicherheitsmaßnahmen einzuschränken
|-
| praktikabel || Leicht verständlich, einfach anzuwenden und wenig fehleranfällig
|-
| akzeptabel || Barrierefrei, niemanden diskriminieren oder beeinträchtigen
|-
| wirtschaftlich || Eingeführt und betrieben werden können, der mit ihrer Umsetzung verbundene Aufwand also in einem angemessenen Verhältnis zu den zu schützenden Werten steht.
|}
 
== Standard-Absicherung ==
; Vorgehensweise Standard-Absicherung
* Neben verpflichtenden Basis-Anforderungen
* SOLLTEN in der Regel auch alle Standard-Anforderungen eines Bausteins erfüllt werden
 
; Ausnahmen
In Einzelfällen sind Ausnahmen möglich
* Wenn eine Anforderung nicht relevant ist
* Ihre Erfüllung mit der Erfüllung anderer Anforderungen im Widerspruch steht
 
Dies ist auch bei Basis-Anforderungen möglich
* Abweichungen sollten nachvollziehbar begründet werden
 
; Aufwand
* Für relevante, aber mit vertretbarem Aufwand nicht erfüllbare Anforderungen sollten Ersatzlösungen gefunden werden
<noinclude>
 
== Anhang ==
=== Siehe auch ===
{{Special:PrefixIndex/IT-Grundschutz/Modellierung}}
 
[[Kategorie:IT-Grundschutz/Modellierung]]
[[Kategorie:ISMS/Modelle]]
 
</noinclude>

Aktuelle Version vom 31. Oktober 2024, 13:36 Uhr

IT-Grundschutz Modellierung - Zuordnung von Grundschutz-Bausteinen zu Zielobjekte

Beschreibung

IT-Grundschutz-Modell für einen Informationsverbund erstellen
  • Sicherheitsanforderungen für Zielobjekte bestimmen
  • Abhängigkeiten berücksichtigen
Entwicklung des Grundschutz-Modells

Auf Basis des IT-Grundschutz/Kompendiums

Modellierung

Anwendung der Bausteine IT-Grundschutz/Kompendiums auf die Komponenten eines Informationsverbundes

IT-Grundschutz-Modell
Ergebnis Beschreibung
Prüfplan Bestehende Systeme und Verfahren
Entwicklungskonzept Geplante Teile des Informationsverbundes
  • Berücksichtigung der Informationssicherheit bei Einführung neuer Elemente

Vorarbeiten

Arbeitsschritte Beschreibung
Informationsverbund Definition des Geltungsbereiches des Sicherheitskonzeptes
Strukturanalyse Identifikation der Zielobjekte
Schutzbedarfsfeststellung Schutzbedarf für Zielobjekte bestimmen

Vorgehen

Grundschutz-Bausteine

Auswahl Grundschutz-Bausteine

Welche Bausteine sind anzuwenden?

  • Schichten
  • Zielobjekte
Ideal

Kein passender Baustein

Kein passender Baustein für Zielobjekt

Risikoanalyse erforderlich

Abgrenzung von Bausteinen

Nicht jeder Baustein ist relevant

Beispiele
  1. Baustein CON.7 Informationssicherheit auf Auslandsreisen
    nur anzuwenden, wenn solche Reisen im Informationsverbund vorkommen
  2. Technischer Bausteine
    • Nur anzuwenden, wenn diese IT-Systemen eingesetzt werden
    • z.B. SYS.2.2.2 Clients unter Windows 8.1
Hinreichende Begründung
  • Geben Sie in solchen Fällen eine hinreichende Begründung für die Nichtanwendung eines Bausteins an
  • Kurz und aussagekräftig

Prozessorientierte Bausteine

Technischen Aspekten übergeordnet
Anwendung
Wichtige Bausteine

Systemorientierte Bausteine

Anwendung

Technische Objekte
  • Auf jedes System (Gruppe) einmal anwenden, das im Baustein adressiert wird
Mögliche Objekte
  • Anwendungen
  • IT-Systeme (z.B. Client, Server oder mobile Geräte)
  • Objekte aus dem Bereich der industriellen IT
  • Netze
  • Infrastrukturobjekte (Räume, Rechenzentrum, Verkabelung)

Mehrere Bausteine

Meist sind für IT-Systeme mehrere Bausteine anzuwenden
  • Alle Sicherheitsanforderungen angemessen berücksichtigen
Betriebssystemunabhängige Bausteine

Grundsätzliche Sicherheitsanforderungen

  • SYS.2.1 Allgemeiner Client
  • SYS.1.1 Allgemeiner Server
Betriebssystemspezifische Bausteine

Anforderungen für einzelne Betriebssysteme

  • SYS.2.2.3 Client unter Windows 10
  • SYS.1.2.2 Windows Server 2012
  • ...
Beispiel: Webserver

Webserver mit Unix

  • SYS.1.1 Allgemeiner Server
  • SYS.1.3 Server unter Unix
  • APP.3.2 Webserver

Virtuelle Systeme

Virtuelle Systeme werden modelliert wie physische Systeme
  • System
  • Betriebssystem
  • Anwendungen
  • Dienste
Beispiel

Wird ein Unix-Server als Virtualisierungsserver betrieben, so sind folgende Bausteine anzuwenden

  • SYS.1.1 Allgemeiner Server
  • SYS.1.3 Server unter Unix und
  • SYS.1.5 Virtualisierung
Physischen Server

Zusätzlich sind für jeden auf diesem physischen Server bereitgestellten virtuellen Server die üblichen Bausteine für Server anzuwenden.

Bare Metal Server

Für auf spezieller Hardware beruhende Virtualisierungsserver (sogenannte Bare Metal Server) gibt es keinen passenden Grundschutz-Baustein.

  • Solche IT-Systeme sind daher für eine Risikoanalyse vorzumerken

Dokumentation

Beispiel
  • In der Spalte Relevanz vermerken Sie, ob Bausteine für den Informationsverbund von Bedeutung sind oder nicht.
  • Diese Entscheidung können Sie unter Begründung näher erläutern.
Baustein nicht relevant
  • Hinreichende Begründung unabdingbar!
Dokumentation der Modellierung
Baustein Zielobjekte Relevanz Begründung Ansprechpartner
APP.5.2 Microsoft Exchange/Outlook Ja IT-Betrieb
INF.1 Allgemeines Gebäude Ja Haustechnik
INF.2 Rechenzentrum sowie Serverraum Ja IT-Betrieb
INF.4 IT-Verkabelung Informationsverbund Ja
INF.7 Büroarbeitsplatz bis Ja
INF.8 Häuslicher Arbeitsplatz Ja Die Vertriebsbüros werden wie Home Offices behandelt.
IND.2.2 Speicherprogrammierbare Steuerung (SPS) Ja
SYS.1.5 Virtualisierung Ja IT-Betrieb
SYS.3.1 Laptops bis Ja IT-Betrieb
OPS.3.1 Outsourcing für Dienstleister Nein Solche Dienste werden nicht angeboten.

Siehe auch Modellierung für die RECPLAST

Anforderungen anpassen

Grundschutz-Bausteine beschreiben Anforderungen

MUSS / SOLLTE

  • was zu geschehen ist
  • nicht aber, wie dies zu erfolgen hat
Sicherheitsmaßnahmen
  • Für die Ausarbeitung von Sicherheitskonzepten
  • wie auch für ein Prüfkonzept
  • ist es notwendig
  • zu den einzelnen Anforderungen
  • Geeignete Sicherheitsmaßnahmen formulieren
Umsetzungshinweise
  • Als Hilfsmittel hierfür gibt es zu den meisten Bausteinen des Grundschutz-Kompendiums Umsetzungshinweise
Angemessene Maßnahmen
Bewertung Beschreibung
wirksam Vor möglichen Gefährdungen schützen und den festgelegten identifizierten Schutzbedarf abdecken
geeignet Tatsächlich umsetzbar sein, ohne
  • Organisationsabläufe unverhältnismäßig zu behindern
  • Andere Sicherheitsmaßnahmen einzuschränken
praktikabel Leicht verständlich, einfach anzuwenden und wenig fehleranfällig
akzeptabel Barrierefrei, niemanden diskriminieren oder beeinträchtigen
wirtschaftlich Eingeführt und betrieben werden können, der mit ihrer Umsetzung verbundene Aufwand also in einem angemessenen Verhältnis zu den zu schützenden Werten steht.

Standard-Absicherung

Vorgehensweise Standard-Absicherung
  • Neben verpflichtenden Basis-Anforderungen
  • SOLLTEN in der Regel auch alle Standard-Anforderungen eines Bausteins erfüllt werden
Ausnahmen

In Einzelfällen sind Ausnahmen möglich

  • Wenn eine Anforderung nicht relevant ist
  • Ihre Erfüllung mit der Erfüllung anderer Anforderungen im Widerspruch steht

Dies ist auch bei Basis-Anforderungen möglich

  • Abweichungen sollten nachvollziehbar begründet werden
Aufwand
  • Für relevante, aber mit vertretbarem Aufwand nicht erfüllbare Anforderungen sollten Ersatzlösungen gefunden werden


Anhang

Siehe auch