IT-Grundschutz/Modellierung: Unterschied zwischen den Versionen
Dirkwagner verschob die Seite Grundschutz/Modellierung nach Kategorie:Grundschutz/Modellierung Markierung: Neue Weiterleitung |
K Textersetzung - „[[Grundschutz“ durch „[[IT-Grundschutz“ |
||
(182 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
Zeile 1: | Zeile 1: | ||
# | '''IT-Grundschutz Modellierung''' - Zuordnung von Grundschutz-Bausteinen zu Zielobjekte | ||
=== Beschreibung === | |||
; IT-Grundschutz-Modell für einen [[Informationsverbund]] erstellen | |||
* Sicherheitsanforderungen für Zielobjekte bestimmen | |||
* Abhängigkeiten berücksichtigen | |||
; Entwicklung des Grundschutz-Modells | |||
Auf Basis des [[IT-Grundschutz/Kompendium]]s | |||
; Modellierung | |||
Anwendung der Bausteine IT-Grundschutz/Kompendiums auf die Komponenten eines Informationsverbundes | |||
; IT-Grundschutz-Modell | |||
{| class="wikitable options" | |||
|- | |||
! Ergebnis !! Beschreibung | |||
|- | |||
| Prüfplan || Bestehende Systeme und Verfahren | |||
|- | |||
| Entwicklungskonzept || Geplante Teile des Informationsverbundes | |||
* Berücksichtigung der Informationssicherheit bei Einführung neuer Elemente | |||
|} | |||
=== Vorarbeiten === | |||
{| class="wikitable options big" | |||
|- | |||
! Arbeitsschritte !! Beschreibung | |||
|- | |||
| [[IT-Grundschutz/Informationsverbund| Informationsverbund]] || Definition des Geltungsbereiches des Sicherheitskonzeptes | |||
|- | |||
| [[IT-Grundschutz/Strukturanalyse|Strukturanalyse]] || Identifikation der Zielobjekte | |||
|- | |||
| [[IT-Grundschutz/Schutzbedarfsfeststellung|Schutzbedarfsfeststellung]] || Schutzbedarf für Zielobjekte bestimmen | |||
|} | |||
=== Vorgehen === | |||
==== Grundschutz-Bausteine ==== | |||
; Auswahl Grundschutz-Bausteine | |||
Welche Bausteine sind anzuwenden? | |||
* Schichten | |||
* Zielobjekte | |||
; Ideal | |||
* Alle [[Zielobjekt]]e des [[Informationsverbund]]es werden angemessen durch Grundschutz-Bausteine abgebildet | |||
==== Kein passender Baustein ==== | |||
Kein passender Baustein für Zielobjekt | |||
; [[IT-Grundschutz/Risikomanagement|Risikoanalyse]] erforderlich | |||
* Gefährdungen und Sicherheitsanforderungen identifizieren | |||
* Dokumentation in einem [[Benutzerdefinierten Baustein]] | |||
==== Abgrenzung von Bausteinen ==== | |||
Nicht jeder Baustein ist relevant | |||
; Beispiele | |||
# Baustein ''[[CON.7]] Informationssicherheit auf Auslandsreisen'' | |||
#: nur anzuwenden, wenn solche Reisen im [[Informationsverbund]] vorkommen | |||
# Technischer Bausteine | |||
#* Nur anzuwenden, wenn diese IT-Systemen eingesetzt werden | |||
#* z.B. SYS.2.2.2 C''lients unter Windows 8.1'' | |||
; Hinreichende Begründung | |||
* Geben Sie in solchen Fällen eine hinreichende Begründung für die Nichtanwendung eines Bausteins an | |||
* Kurz und aussagekräftig | |||
=== Prozessorientierte Bausteine === | |||
; Technischen Aspekten übergeordnet | |||
* Einheitlich Regelung je [[Informationsverbund]] | |||
; Anwendung | |||
* Einmal pro [[Informationsverbund]] | |||
; Wichtige Bausteine | |||
* [[ISMS.1 Sicherheitsmanagement|Informationssicherheitsmanagement]] | |||
* [[Organisation des IT-Betriebs]] | |||
* [[Schulung und Sensibilisierung des Personals]] | |||
* [[Detektion und Reaktion auf Sicherheitsvorfälle]] | |||
=== Systemorientierte Bausteine === | |||
==== Anwendung ==== | |||
; Technische Objekte | |||
* Auf jedes System (Gruppe) einmal anwenden, das im Baustein adressiert wird | |||
; Mögliche Objekte | |||
* Anwendungen | |||
* IT-Systeme (z.B. Client, Server oder mobile Geräte) | |||
* Objekte aus dem Bereich der industriellen IT | |||
* Netze | |||
* Infrastrukturobjekte (Räume, Rechenzentrum, Verkabelung) | |||
==== Mehrere Bausteine ==== | |||
; Meist sind für IT-Systeme mehrere Bausteine anzuwenden | |||
* Alle Sicherheitsanforderungen angemessen berücksichtigen | |||
; Betriebssystemunabhängige Bausteine | |||
Grundsätzliche Sicherheitsanforderungen | |||
* SYS.2.1 ''Allgemeiner Client'' | |||
* SYS.1.1 ''Allgemeiner Server'' | |||
; Betriebssystemspezifische Bausteine | |||
Anforderungen für einzelne Betriebssysteme | |||
* SYS.2.2.3 ''Client unter Windows 10'' | |||
* SYS.1.2.2 ''Windows Server 2012'' | |||
* ... | |||
; <nowiki>Beispiel: Webserver</nowiki> | |||
Webserver mit Unix | |||
* SYS.1.1 ''Allgemeiner Server'' | |||
* SYS.1.3 ''Server unter Unix'' | |||
* APP.3.2 ''Webserver'' | |||
==== Virtuelle Systeme ==== | |||
; ''Virtuelle Systeme'' werden modelliert wie physische Systeme | |||
* System | |||
* Betriebssystem | |||
* Anwendungen | |||
* Dienste | |||
; Beispiel | |||
Wird ein Unix-Server als Virtualisierungsserver betrieben, so sind folgende Bausteine anzuwenden | |||
* SYS.1.1 ''Allgemeiner Server'' | |||
* SYS.1.3 ''Server unter Unix'' und | |||
* SYS.1.5 ''Virtualisierung'' | |||
; Physischen Server | |||
Zusätzlich sind für jeden auf diesem physischen Server bereitgestellten virtuellen Server die üblichen Bausteine für Server anzuwenden. | |||
; Bare Metal Server | |||
Für auf spezieller Hardware beruhende Virtualisierungsserver (sogenannte Bare Metal Server) gibt es keinen passenden Grundschutz-Baustein. | |||
* Solche IT-Systeme sind daher für eine Risikoanalyse vorzumerken | |||
=== Dokumentation === | |||
; Beispiel | |||
* In der Spalte ''Relevanz'' vermerken Sie, ob Bausteine für den Informationsverbund von Bedeutung sind oder nicht. | |||
* Diese Entscheidung können Sie unter ''Begründung'' näher erläutern. | |||
; Baustein nicht relevant | |||
* Hinreichende Begründung unabdingbar! | |||
; Dokumentation der Modellierung | |||
{| class="wikitable options" | |||
|- | |||
! Baustein !! Zielobjekte !! Relevanz !! Begründung !! Ansprechpartner | |||
|- | |||
| APP.5.2 Microsoft Exchange/Outlook || || Ja || || [[IT-Betrieb]] | |||
|- | |||
| INF.1 Allgemeines Gebäude || || Ja || || [[Haustechnik]] | |||
|- | |||
| INF.2 Rechenzentrum sowie Serverraum || || Ja || || [[IT-Betrieb]] | |||
|- | |||
| INF.4 IT-Verkabelung || Informationsverbund || Ja || || | |||
|- | |||
| INF.7 Büroarbeitsplatz || bis || Ja || || | |||
|- | |||
| INF.8 Häuslicher Arbeitsplatz || || Ja || Die Vertriebsbüros werden wie Home Offices behandelt. || | |||
|- | |||
| IND.2.2 Speicherprogrammierbare Steuerung (SPS) || || Ja || || | |||
|- | |||
| SYS.1.5 Virtualisierung || || Ja || || [[IT-Betrieb]] | |||
|- | |||
| SYS.3.1 Laptops || bis || Ja || || [[IT-Betrieb]] | |||
|- | |||
|| OPS.3.1 Outsourcing für Dienstleister || || Nein || Solche Dienste werden nicht angeboten. || | |||
|- | |||
|} | |||
Siehe auch Modellierung für die [[RECPLAST]] | |||
== Anforderungen anpassen == | |||
; Grundschutz-Bausteine beschreiben Anforderungen | |||
MUSS / SOLLTE | |||
* ''was'' zu geschehen ist | |||
* nicht aber, ''wie'' dies zu erfolgen hat | |||
; Sicherheitsmaßnahmen | |||
* Für die Ausarbeitung von Sicherheitskonzepten | |||
* wie auch für ein Prüfkonzept | |||
* ist es notwendig | |||
* zu den einzelnen Anforderungen | |||
* Geeignete Sicherheitsmaßnahmen formulieren | |||
; Umsetzungshinweise | |||
* Als Hilfsmittel hierfür gibt es zu den meisten Bausteinen des Grundschutz-Kompendiums [[Umsetzungshinweise]] | |||
; Angemessene Maßnahmen | |||
{| class="wikitable options" | |||
|- | |||
! Bewertung !! Beschreibung | |||
|- | |||
| wirksam || Vor möglichen Gefährdungen schützen und den festgelegten identifizierten Schutzbedarf abdecken | |||
|- | |||
| geeignet || Tatsächlich umsetzbar sein, ohne | |||
* Organisationsabläufe unverhältnismäßig zu behindern | |||
* Andere Sicherheitsmaßnahmen einzuschränken | |||
|- | |||
| praktikabel || Leicht verständlich, einfach anzuwenden und wenig fehleranfällig | |||
|- | |||
| akzeptabel || Barrierefrei, niemanden diskriminieren oder beeinträchtigen | |||
|- | |||
| wirtschaftlich || Eingeführt und betrieben werden können, der mit ihrer Umsetzung verbundene Aufwand also in einem angemessenen Verhältnis zu den zu schützenden Werten steht. | |||
|} | |||
== Standard-Absicherung == | |||
; Vorgehensweise Standard-Absicherung | |||
* Neben verpflichtenden Basis-Anforderungen | |||
* SOLLTEN in der Regel auch alle Standard-Anforderungen eines Bausteins erfüllt werden | |||
; Ausnahmen | |||
In Einzelfällen sind Ausnahmen möglich | |||
* Wenn eine Anforderung nicht relevant ist | |||
* Ihre Erfüllung mit der Erfüllung anderer Anforderungen im Widerspruch steht | |||
Dies ist auch bei Basis-Anforderungen möglich | |||
* Abweichungen sollten nachvollziehbar begründet werden | |||
; Aufwand | |||
* Für relevante, aber mit vertretbarem Aufwand nicht erfüllbare Anforderungen sollten Ersatzlösungen gefunden werden | |||
<noinclude> | |||
== Anhang == | |||
=== Siehe auch === | |||
{{Special:PrefixIndex/IT-Grundschutz/Modellierung}} | |||
[[Kategorie:IT-Grundschutz/Modellierung]] | |||
[[Kategorie:ISMS/Modelle]] | |||
</noinclude> |
Aktuelle Version vom 31. Oktober 2024, 13:36 Uhr
IT-Grundschutz Modellierung - Zuordnung von Grundschutz-Bausteinen zu Zielobjekte
Beschreibung
- IT-Grundschutz-Modell für einen Informationsverbund erstellen
- Sicherheitsanforderungen für Zielobjekte bestimmen
- Abhängigkeiten berücksichtigen
- Entwicklung des Grundschutz-Modells
Auf Basis des IT-Grundschutz/Kompendiums
- Modellierung
Anwendung der Bausteine IT-Grundschutz/Kompendiums auf die Komponenten eines Informationsverbundes
- IT-Grundschutz-Modell
Ergebnis | Beschreibung |
---|---|
Prüfplan | Bestehende Systeme und Verfahren |
Entwicklungskonzept | Geplante Teile des Informationsverbundes
|
Vorarbeiten
Arbeitsschritte | Beschreibung |
---|---|
Informationsverbund | Definition des Geltungsbereiches des Sicherheitskonzeptes |
Strukturanalyse | Identifikation der Zielobjekte |
Schutzbedarfsfeststellung | Schutzbedarf für Zielobjekte bestimmen |
Vorgehen
Grundschutz-Bausteine
- Auswahl Grundschutz-Bausteine
Welche Bausteine sind anzuwenden?
- Schichten
- Zielobjekte
- Ideal
- Alle Zielobjekte des Informationsverbundes werden angemessen durch Grundschutz-Bausteine abgebildet
Kein passender Baustein
Kein passender Baustein für Zielobjekt
- Risikoanalyse erforderlich
- Gefährdungen und Sicherheitsanforderungen identifizieren
- Dokumentation in einem Benutzerdefinierten Baustein
Abgrenzung von Bausteinen
Nicht jeder Baustein ist relevant
- Beispiele
- Baustein CON.7 Informationssicherheit auf Auslandsreisen
- nur anzuwenden, wenn solche Reisen im Informationsverbund vorkommen
- Technischer Bausteine
- Nur anzuwenden, wenn diese IT-Systemen eingesetzt werden
- z.B. SYS.2.2.2 Clients unter Windows 8.1
- Hinreichende Begründung
- Geben Sie in solchen Fällen eine hinreichende Begründung für die Nichtanwendung eines Bausteins an
- Kurz und aussagekräftig
Prozessorientierte Bausteine
- Technischen Aspekten übergeordnet
- Einheitlich Regelung je Informationsverbund
- Anwendung
- Einmal pro Informationsverbund
- Wichtige Bausteine
- Informationssicherheitsmanagement
- Organisation des IT-Betriebs
- Schulung und Sensibilisierung des Personals
- Detektion und Reaktion auf Sicherheitsvorfälle
Systemorientierte Bausteine
Anwendung
- Technische Objekte
- Auf jedes System (Gruppe) einmal anwenden, das im Baustein adressiert wird
- Mögliche Objekte
- Anwendungen
- IT-Systeme (z.B. Client, Server oder mobile Geräte)
- Objekte aus dem Bereich der industriellen IT
- Netze
- Infrastrukturobjekte (Räume, Rechenzentrum, Verkabelung)
Mehrere Bausteine
- Meist sind für IT-Systeme mehrere Bausteine anzuwenden
- Alle Sicherheitsanforderungen angemessen berücksichtigen
- Betriebssystemunabhängige Bausteine
Grundsätzliche Sicherheitsanforderungen
- SYS.2.1 Allgemeiner Client
- SYS.1.1 Allgemeiner Server
- Betriebssystemspezifische Bausteine
Anforderungen für einzelne Betriebssysteme
- SYS.2.2.3 Client unter Windows 10
- SYS.1.2.2 Windows Server 2012
- ...
- Beispiel: Webserver
Webserver mit Unix
- SYS.1.1 Allgemeiner Server
- SYS.1.3 Server unter Unix
- APP.3.2 Webserver
Virtuelle Systeme
- Virtuelle Systeme werden modelliert wie physische Systeme
- System
- Betriebssystem
- Anwendungen
- Dienste
- Beispiel
Wird ein Unix-Server als Virtualisierungsserver betrieben, so sind folgende Bausteine anzuwenden
- SYS.1.1 Allgemeiner Server
- SYS.1.3 Server unter Unix und
- SYS.1.5 Virtualisierung
- Physischen Server
Zusätzlich sind für jeden auf diesem physischen Server bereitgestellten virtuellen Server die üblichen Bausteine für Server anzuwenden.
- Bare Metal Server
Für auf spezieller Hardware beruhende Virtualisierungsserver (sogenannte Bare Metal Server) gibt es keinen passenden Grundschutz-Baustein.
- Solche IT-Systeme sind daher für eine Risikoanalyse vorzumerken
Dokumentation
- Beispiel
- In der Spalte Relevanz vermerken Sie, ob Bausteine für den Informationsverbund von Bedeutung sind oder nicht.
- Diese Entscheidung können Sie unter Begründung näher erläutern.
- Baustein nicht relevant
- Hinreichende Begründung unabdingbar!
- Dokumentation der Modellierung
Baustein | Zielobjekte | Relevanz | Begründung | Ansprechpartner |
---|---|---|---|---|
APP.5.2 Microsoft Exchange/Outlook | Ja | IT-Betrieb | ||
INF.1 Allgemeines Gebäude | Ja | Haustechnik | ||
INF.2 Rechenzentrum sowie Serverraum | Ja | IT-Betrieb | ||
INF.4 IT-Verkabelung | Informationsverbund | Ja | ||
INF.7 Büroarbeitsplatz | bis | Ja | ||
INF.8 Häuslicher Arbeitsplatz | Ja | Die Vertriebsbüros werden wie Home Offices behandelt. | ||
IND.2.2 Speicherprogrammierbare Steuerung (SPS) | Ja | |||
SYS.1.5 Virtualisierung | Ja | IT-Betrieb | ||
SYS.3.1 Laptops | bis | Ja | IT-Betrieb | |
OPS.3.1 Outsourcing für Dienstleister | Nein | Solche Dienste werden nicht angeboten. |
Siehe auch Modellierung für die RECPLAST
Anforderungen anpassen
- Grundschutz-Bausteine beschreiben Anforderungen
MUSS / SOLLTE
- was zu geschehen ist
- nicht aber, wie dies zu erfolgen hat
- Sicherheitsmaßnahmen
- Für die Ausarbeitung von Sicherheitskonzepten
- wie auch für ein Prüfkonzept
- ist es notwendig
- zu den einzelnen Anforderungen
- Geeignete Sicherheitsmaßnahmen formulieren
- Umsetzungshinweise
- Als Hilfsmittel hierfür gibt es zu den meisten Bausteinen des Grundschutz-Kompendiums Umsetzungshinweise
- Angemessene Maßnahmen
Bewertung | Beschreibung |
---|---|
wirksam | Vor möglichen Gefährdungen schützen und den festgelegten identifizierten Schutzbedarf abdecken |
geeignet | Tatsächlich umsetzbar sein, ohne
|
praktikabel | Leicht verständlich, einfach anzuwenden und wenig fehleranfällig |
akzeptabel | Barrierefrei, niemanden diskriminieren oder beeinträchtigen |
wirtschaftlich | Eingeführt und betrieben werden können, der mit ihrer Umsetzung verbundene Aufwand also in einem angemessenen Verhältnis zu den zu schützenden Werten steht. |
Standard-Absicherung
- Vorgehensweise Standard-Absicherung
- Neben verpflichtenden Basis-Anforderungen
- SOLLTEN in der Regel auch alle Standard-Anforderungen eines Bausteins erfüllt werden
- Ausnahmen
In Einzelfällen sind Ausnahmen möglich
- Wenn eine Anforderung nicht relevant ist
- Ihre Erfüllung mit der Erfüllung anderer Anforderungen im Widerspruch steht
Dies ist auch bei Basis-Anforderungen möglich
- Abweichungen sollten nachvollziehbar begründet werden
- Aufwand
- Für relevante, aber mit vertretbarem Aufwand nicht erfüllbare Anforderungen sollten Ersatzlösungen gefunden werden
Anhang
Siehe auch