IT-Grundschutz/Modellierung: Unterschied zwischen den Versionen

Aus Foxwiki
K Textersetzung - „[[Grundschutz“ durch „[[IT-Grundschutz“
 
(157 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
'''IT-Grundschutz-Modellierung''' - Anwendung der Grundschutz-Bausteine auf die ermittelten Zielobjekte
'''IT-Grundschutz Modellierung''' - Zuordnung von Grundschutz-Bausteinen zu Zielobjekte
=== Beschreibung ===
; IT-Grundschutz-Modell für einen [[Informationsverbund]] erstellen
* Sicherheitsanforderungen für Zielobjekte bestimmen
* Abhängigkeiten berücksichtigen


== Beschreibung ==
; Entwicklung des Grundschutz-Modells
Erstellung eines '''IT-Grundschutz-Modells''' des Informationsverbundes
Auf Basis des [[IT-Grundschutz/Kompendium]]s
* Relevanten Sicherheitsanforderungen für die Zielobjekte bestimmen


=== Vorarbeiten ===
; Modellierung
Anwendung der Bausteine IT-Grundschutz/Kompendiums auf die Komponenten eines Informationsverbundes
 
; IT-Grundschutz-Modell
{| class="wikitable options"
{| class="wikitable options"
|-
|-
! Arbeitsschitte !! Beschreibung
! Ergebnis !! Beschreibung
|-
| [[Grundschutz/Informationsverbund| Informationsverbund]] || Definition des Geltungsbereiches des Sicherheitskonzeptes
|-
|-
| [[Grundschutz/Strukturanalyse|Strukturanalyse]] ||  
| Prüfplan || Bestehende Systeme und Verfahren
|-
|-
| [[Grundschutz/Schutzbedarfsfeststellung|Schutzbedarfsfeststellung]] ||  
| Entwicklungskonzept || Geplante Teile des Informationsverbundes
* Berücksichtigung der Informationssicherheit bei Einführung neuer Elemente
|}
|}


=== IT-Grundschutz-Modell ===
=== Vorarbeiten ===
Dieses Modell kann sowohl dazu dienen, die Sicherheit bestehender Systeme und Verfahren zu bewerten, als auch zu einer angemessenen Berücksichtigung der Informationssicherheit bei der Einführung neuer Elemente beitragen.
{| class="wikitable options big"
 
|-
; Es liefert
! Arbeitsschritte !! Beschreibung
{| class="wikitable sortable options"
|-
|-
! Option !! Beschreibung
| [[IT-Grundschutz/Informationsverbund| Informationsverbund]] || Definition des Geltungsbereiches des Sicherheitskonzeptes
|-
|-
| für bestehende Teile des Informationsverbundes || Vorgaben für einen '''Prüfplan'''
| [[IT-Grundschutz/Strukturanalyse|Strukturanalyse]] || Identifikation der Zielobjekte
|-
|-
| für geplante Teile || Vorgaben für ein '''Entwicklungskonzept''' zur Informationssicherheit
| [[IT-Grundschutz/Schutzbedarfsfeststellung|Schutzbedarfsfeststellung]] || Schutzbedarf für Zielobjekte bestimmen
|}
|}


; IT-Grundschutz-Kompendium
=== Vorgehen ===
Bei der Entwicklung des Grundschutz-Modells werden Sie durch das '''IT-Grundschutz-Kompendium''' unterstützt.
==== Grundschutz-Bausteine ====
; Auswahl Grundschutz-Bausteine
Welche Bausteine sind anzuwenden?
* Schichten
* Zielobjekte
 
; Ideal
* Alle [[Zielobjekt]]e des [[Informationsverbund]]es werden angemessen durch Grundschutz-Bausteine abgebildet


== Vorgehen ==
==== Kein passender Baustein ====
; Bei der Modellierung wählen Sie diejenigen Grundschutz-Bausteine aus, die Sie für die Sicherheit des betrachteten Informationsverbundes benötigen.
Kein passender Baustein für Zielobjekt
* Sehen Sie sich dazu die Bausteine der einzelnen Schichten an und entscheiden Sie, ob und auf welche Zielobjekte ein Baustein angewendet werden kann.
; [[IT-Grundschutz/Risikomanagement|Risikoanalyse]] erforderlich
* Hilfestellungen dazu finden Sie in Kapitel 2.2 ''Zuordnung anhand Schichtenmodell'' des [https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/IT-Grundschutz-Kompendium/it-grundschutz-kompendium_node.html Grundschutz-Kompendiums].
* Gefährdungen und Sicherheitsanforderungen identifizieren
* Dokumentation in einem [[Benutzerdefinierten Baustein]]


; Im Ergebnis sind idealerweise '''alle Zielobjekte''' des Informationsverbundes '''angemessen durch Grundschutz-Bausteine abgebildet'''.
==== Abgrenzung von Bausteinen ====
Nicht jeder Baustein ist relevant


; Kein passender Baustein
; Beispiele
* Für Zielobjekte, für die es '''keinen hinreichend passenden Baustein''' gibt, muss eine '''[[Grundschutz/Risikomanagement]]''' durchgeführt werden.
# Baustein ''[[CON.7]] Informationssicherheit auf Auslandsreisen''
* Dabei werden Gefährdungen und Sicherheitsanforderungen identifiziert, die in einem benutzerdefinierten Baustein zusammengeführt werden.
#: nur anzuwenden, wenn solche Reisen im [[Informationsverbund]] vorkommen
# Technischer Bausteine
#* Nur anzuwenden, wenn diese IT-Systemen eingesetzt werden
#* z.B. SYS.2.2.2 C''lients unter Windows 8.1''


; Nicht jeder Baustein ist relevant
; Hinreichende Begründung
Zum Beispiel müssen Sie den Baustein CON.7'' Informationssicherheit auf Auslandsreisen'' natürlich nur dann anwenden, wenn solche Reisen in Ihrer Einrichtung üblich sind, und ebenso selbstverständlich erübrigt sich die Anwendung spezieller technischer Bausteine wie SYS.2.2.2 C''lients unter Windows 8.1'', wenn dieser Typ von -Systemen bei Ihnen nicht eingesetzt wird.
* Geben Sie in solchen Fällen eine hinreichende Begründung für die Nichtanwendung eines Bausteins an
* Geben Sie in solchen Fällen gleichwohl eine hinreichende Begründung für die Nichtanwendung eines Bausteins an, sie muss aussagekräftig, aber nicht lang sein.
* Kurz und aussagekräftig


=== Prozessorientierte Bausteine ===
=== Prozessorientierte Bausteine ===
; Aspekte, die den technischen Aspekten eines Informationsverbundes übergeordnet und üblicherweise einheitlich zu regeln sind.
; Technischen Aspekten übergeordnet
* Diese Bausteine sind daher in der Regel einmal pro Informationsverbund anzuwenden.
* Einheitlich Regelung je [[Informationsverbund]]
* Besonders wichtig sind die Bausteine zum Informationssicherheitsmanagement, der Organisation des -Betriebs, der Schulung und Sensibilisierung des Personals sowie der Detektion von und Reaktion auf Sicherheitsvorfälle.
 
; Anwendung
* Einmal pro [[Informationsverbund]]
 
; Wichtige Bausteine
* [[ISMS.1 Sicherheitsmanagement|Informationssicherheitsmanagement]]
* [[Organisation des IT-Betriebs]]
* [[Schulung und Sensibilisierung des Personals]]
* [[Detektion und Reaktion auf Sicherheitsvorfälle]]


=== Systemorientierte Bausteine ===
=== Systemorientierte Bausteine ===
; Technische Objekte und sind auf jedes technische System oder jede Gruppe technischer Systeme anzuwenden, die jeweils im Baustein adressiert werden.
==== Anwendung ====
* Dies können bestimmte Anwendungen, -Systeme (z. B. Client, Server oder mobile Geräte), Objekte aus dem Bereich der industriellen , Netze oder auch Infrastrukturobjekte (Räume, Rechenzentrum, Verkabelung) sein.
; Technische Objekte
* Für eine Reihe technischer Systeme sind '''mehrere Bausteine anzuwenden''', um die Gesamtheit der für das System relevanten Sicherheitsanforderungen abzudecken:
* Auf jedes System (Gruppe) einmal anwenden, das im Baustein adressiert wird
So gibt es für Clients und Server zum einen betriebssystemunabhängige Bausteine (SYS.2.1 ''Allgemeiner Client'', SYS.1.1 ''Allgemeiner Server''), in denen die grundsätzlichen Sicherheitsanforderungen dieser Systeme beschrieben werden, zum anderen aber auch betriebssystemspezifische Bausteine (z. B.  SYS.2.2.3 ''Client unter Windows 10'', SYS.1.2.2 ''Windows Server 2012''), in denen ergänzend die besonderen Anforderungen dargestellt sind, die für dieses Betriebssystem gelten.
 
; Mögliche Objekte
* Anwendungen
* IT-Systeme (z.B. Client, Server oder mobile Geräte)
* Objekte aus dem Bereich der industriellen IT
* Netze
* Infrastrukturobjekte (Räume, Rechenzentrum, Verkabelung)
 
==== Mehrere Bausteine ====
; Meist sind für IT-Systeme mehrere Bausteine anzuwenden
* Alle Sicherheitsanforderungen angemessen berücksichtigen
 
; Betriebssystemunabhängige Bausteine
Grundsätzliche Sicherheitsanforderungen
* SYS.2.1 ''Allgemeiner Client''
* SYS.1.1 ''Allgemeiner Server''
 
; Betriebssystemspezifische Bausteine  
Anforderungen für einzelne Betriebssysteme
* SYS.2.2.3 ''Client unter Windows 10''
* SYS.1.2.2 ''Windows Server 2012''
* ...
 
; <nowiki>Beispiel: Webserver</nowiki>
Webserver mit Unix
* SYS.1.1 ''Allgemeiner Server''
* SYS.1.3 ''Server unter Unix''
* APP.3.2 ''Webserver''
 
==== Virtuelle Systeme ====
; ''Virtuelle Systeme'' werden modelliert wie physische Systeme
* System
* Betriebssystem
* Anwendungen
* Dienste
 
; Beispiel
Wird ein Unix-Server als Virtualisierungsserver betrieben, so sind folgende Bausteine anzuwenden
* SYS.1.1 ''Allgemeiner Server''
* SYS.1.3 ''Server unter Unix'' und
* SYS.1.5 ''Virtualisierung''


; Webserver
; Physischen Server
Für einen Webserver, der mit einer Unix-Variante betrieben wird, sind damit die folgenden drei Bausteine in das Grundschutz-Modell aufzunehmen:
Zusätzlich sind für jeden auf diesem physischen Server bereitgestellten virtuellen Server die üblichen Bausteine für Server anzuwenden.
** SYS.1.1 ''Allgemeiner Server''
** SYS.1.3 ''Server unter Unix''
** APP.3.2 ''Webserver''


; Virtuelle Systeme
; Bare Metal Server
'''Virtuelle Systeme''' sind in gleicher Weise zu modellieren wie physische, es sind also die Funktionen der Systeme, ihr Betriebssystem und die bereitgestellten Anwendungen und Dienste zu berücksichtigen.
Für auf spezieller Hardware beruhende Virtualisierungsserver (sogenannte Bare Metal Server) gibt es keinen passenden Grundschutz-Baustein.  
* Wird ein Unix-Server als Virtualisierungsserver betrieben, so sind auf diesen die drei Bausteine SYS.1.1 ''Allgemeiner Server'', SYS.1.3 ''Server unter Unix'' und SYS.1.5 ''Virtualisierung'' anzuwenden.
* Solche IT-Systeme sind daher für eine Risikoanalyse vorzumerken
* Zusätzlich sind für jeden auf diesem physischen Server bereitgestellten virtuellen Server die üblichen Bausteine für Server anzuwenden.
* Für auf spezieller Hardware beruhende Virtualisierungsserver (sogenannte Bare Metal Server) gibt es keinen passenden Grundschutz-Baustein. Solche -Systeme sind daher für eine Risikoanalyse vorzumerken.


== Dokumentation ==
=== Dokumentation ===
Ein Beispiel dafür, wie Sie die vorgenommene Modellierung dokumentieren können, finden Sie in folgendem Auszug aus der Modellierung für die RECPLAST .
; Beispiel
* In der Spalte ''Relevanz'' vermerken Sie, ob Bausteine für den Informationsverbund von Bedeutung sind oder nicht.
* In der Spalte ''Relevanz'' vermerken Sie, ob Bausteine für den Informationsverbund von Bedeutung sind oder nicht.
* Diese Entscheidung können Sie unter ''Begründung'' näher erläutern.
* Diese Entscheidung können Sie unter ''Begründung'' näher erläutern.
* Wenn Sie einen Baustein für nicht relevant einstufen, ist eine hinreichende Begründung unabdingbar.
 
; Baustein nicht relevant
* Hinreichende Begründung unabdingbar!


; Dokumentation der Modellierung
; Dokumentation der Modellierung
{| class="wikitable sortable options"
{| class="wikitable options"
|-
|-
! Baustein !! Zielobjekte !! Relevanz !! Begründung !! Ansprechpartner
! Baustein !! Zielobjekte !! Relevanz !! Begründung !! Ansprechpartner
Zeile 86: Zeile 148:
| INF.1 Allgemeines Gebäude || || Ja || || [[Haustechnik]]
| INF.1 Allgemeines Gebäude || || Ja || || [[Haustechnik]]
|-
|-
| INF.2 Rechenzentrum sowie Serverraum || || Ja || || [[Betrieb]]
| INF.2 Rechenzentrum sowie Serverraum || || Ja || || [[IT-Betrieb]]
|-
|-
| INF.4 IT-Verkabelung || Informationsverbund || Ja || ||
| INF.4 IT-Verkabelung || Informationsverbund || Ja || ||
Zeile 96: Zeile 158:
| IND.2.2 Speicherprogrammierbare Steuerung (SPS) || || Ja || ||
| IND.2.2 Speicherprogrammierbare Steuerung (SPS) || || Ja || ||
|-
|-
| SYS.1.5 Virtualisierung || || Ja || || [[Betrieb]]  
| SYS.1.5 Virtualisierung || || Ja || || [[IT-Betrieb]]
|-
|-
| SYS.3.1 Laptops || bis || Ja || || [[Betrieb]]
| SYS.3.1 Laptops || bis || Ja || || [[IT-Betrieb]]
|-
|-
|| OPS.3.1 Outsourcing für Dienstleister || || Nein || Solche Dienste werden nicht angeboten. ||
|| OPS.3.1 Outsourcing für Dienstleister || || Nein || Solche Dienste werden nicht angeboten. ||
Zeile 104: Zeile 166:
|}
|}


Die Angabe von Ansprechpartnern ist bei der Modellierung optional.
Siehe auch Modellierung für die [[RECPLAST]]
* Sie kann aber dazu dienen, spätere Phasen der Methodik vorzubereiten, insbesondere den Grundschutz-Check.
* Bei der Auswahl der betreffenden Personen können die Angaben zu Rollen und Verantwortlichkeiten in den Bausteinen hilfreich sein.


== Anforderungen anpassen ==
== Anforderungen anpassen ==
; Grundschutz-Bausteine beschreiben Anforderungen, die eine Institution umsetzen MUSS oder SOLLTE.
; Grundschutz-Bausteine beschreiben Anforderungen
* In ihnen ist also dargestellt, '''was''' zu geschehen ist, nicht aber, '''wie''' dies zu erfolgen hat.
MUSS / SOLLTE
* Für die Ausarbeitung von Sicherheitskonzepten wie auch für ein Prüfkonzept ist es notwendig, zu den einzelnen Anforderungen geeignete Sicherheitsmaßnahmen zu formulieren.
* ''was'' zu geschehen ist
* Als Hilfsmittel hierfür gibt es zu den meisten Bausteinen des Grundschutz-Kompendiums '''Umsetzungshinweise'''.
* nicht aber, ''wie'' dies zu erfolgen hat


; Maßnahmen müssen angemessen sein
; Sicherheitsmaßnahmen
* Für die Ausarbeitung von Sicherheitskonzepten
* wie auch für ein Prüfkonzept
* ist es notwendig
* zu den einzelnen Anforderungen
* Geeignete Sicherheitsmaßnahmen formulieren


{| class="wikitable sortable options"
; Umsetzungshinweise
* Als Hilfsmittel hierfür gibt es zu den meisten Bausteinen des Grundschutz-Kompendiums [[Umsetzungshinweise]]
 
; Angemessene Maßnahmen
{| class="wikitable options"
|-
|-
! Bewertung !! Beschreibung
! Bewertung !! Beschreibung
Zeile 126: Zeile 195:
* Andere Sicherheitsmaßnahmen einzuschränken
* Andere Sicherheitsmaßnahmen einzuschränken
|-
|-
| praktikabel ||Leicht verständlich, einfach anzuwenden und wenig fehleranfällig
| praktikabel || Leicht verständlich, einfach anzuwenden und wenig fehleranfällig
|-
|-
| Akzeptanz || Barrierefrei sind, niemanden diskriminieren oder beeinträchtigen
| akzeptabel || Barrierefrei, niemanden diskriminieren oder beeinträchtigen
|-
|-
| wirtschaftlich || eingeführt und betrieben werden können, der mit ihrer Umsetzung verbundene Aufwand also in einem angemessenen Verhältnis zu den zu schützenden Werten steht.
| wirtschaftlich || Eingeführt und betrieben werden können, der mit ihrer Umsetzung verbundene Aufwand also in einem angemessenen Verhältnis zu den zu schützenden Werten steht.
|}
|}


; Standard-Absicherung
== Standard-Absicherung ==
Bei der Vorgehensweise Standard-Absicherung sollten neben den verpflichtenden Basis-Anforderungen in der Regel immer auch alle Standard-Anforderungen eines Bausteins erfüllt werden.
; Vorgehensweise Standard-Absicherung
* Gleichwohl kann es in Einzelfällen zu Ausnahmen kommen, etwa weil eine Anforderung nicht relevant ist oder ihre Erfüllung mit der Erfüllung anderer Anforderungen im Widerspruch steht.
* Neben verpflichtenden Basis-Anforderungen  
* Dies ist auch bei Basis-Anforderungen möglich.
* SOLLTEN in der Regel auch alle Standard-Anforderungen eines Bausteins erfüllt werden
* Solche Abweichungen sollten Sie nachvollziehbar begründen.
 
* Für zwar relevante, aber mit vertretbarem Aufwand nicht erfüllbare Anforderungen sollten Sie Ersatzlösungen festlegen.
; Ausnahmen
In Einzelfällen sind Ausnahmen möglich
* Wenn eine Anforderung nicht relevant ist
* Ihre Erfüllung mit der Erfüllung anderer Anforderungen im Widerspruch steht
 
Dies ist auch bei Basis-Anforderungen möglich
* Abweichungen sollten nachvollziehbar begründet werden
 
; Aufwand
* Für relevante, aber mit vertretbarem Aufwand nicht erfüllbare Anforderungen sollten Ersatzlösungen gefunden werden
<noinclude>
<noinclude>


== Anhang ==
== Anhang ==
=== Siehe auch ===
=== Siehe auch ===
{{Special:PrefixIndex/Grundschutz/Modellierung}}
{{Special:PrefixIndex/IT-Grundschutz/Modellierung}}
==== Sicherheit ====
==== Dokumentation ====
==== Links ====
===== Projekt =====
===== Weblinks =====
 
=== Testfragen ===
Es können mehrere Antwortmöglichkeiten zutreffend sein.
 
<div class="toccolours mw-collapsible mw-collapsed">
Welche Aufgaben stellen sich Ihnen bei der Modellierung gemäß Grundschutz?
A Sie bilden den in der Strukturanalyse dokumentierten Informationsverbund mithilfe der Grundschutz-Bausteine ab.
B Sie entwerfen die Sicherheitsarchitektur des betrachteten Informationsverbundes.
C Sie merken Zielobjekte, die nicht geeignet modelliert werden können, für eine Risikoanalyse vor.
D Sie prüfen, welche Grundschutz-Bausteine für den betrachteten Informationsverbund relevant sind.
<div class="mw-collapsible-content">
'''Die Antworten A, C und D sind richtig.'''
</div>
</div>
 
<div class="toccolours mw-collapsible mw-collapsed">
Welche Informationen sind Bestandteil eines Grundschutz-Bausteins?
A Angaben zur spezifischen Gefährdungslage
B Beschreibungen zu Standard-Sicherheitsmaßnahmen
C Verweise auf weiterführende Informationen
D Sicherheitsanforderungen zu einem gegebenen Sachverhalt
<div class="mw-collapsible-content">
'''Die Antworten A, C und D sind richtig.'''
</div></div>
 
<div class="toccolours mw-collapsible mw-collapsed">
Welche Aufgaben stellen sich Ihnen, nachdem Sie bei der Modellierung festgelegt haben, welche Bausteine für den Informationsverbund und seine einzelnen Zielobjekte anzuwenden sind?
A Die Festlegung von Maßnahmen, mit denen die Anforderungen erfüllt werden können
B Die Prüfung, ob für einzelne Anforderungen, deren Umsetzung im gegebenen Anwendungskontext mit vertretbarem Aufwand nicht möglich ist, Alternativen erforderlich sind
C Die Korrektur der Schutzbedarfsfeststellung für Zielobjekte, bei denen die Erfüllung der Anforderungen unrealistisch erscheint
D Die Dokumentation der Ergebnisse der Modellierung
<div class="mw-collapsible-content">
'''Die Antworten A, B und D sind richtig.'''
</div></div>
 
<div class="toccolours mw-collapsible mw-collapsed">
Worauf sollten Sie bei der Auswahl und Anpassung der Sicherheitsmaßnahmen auf Basis der Anforderungen achten?
A Auf die Wirtschaftlichkeit der Maßnahmen
B Auf die Wirksamkeit der Maßnahmen
C Auf den Innovationsgrad der Maßnahmen
D Auf die Benutzerfreundlichkeit der Maßnahmen
<div class="mw-collapsible-content">
'''Die Antworten A, B und D sind richtig'''
</div>
</div>


<div class="toccolours mw-collapsible mw-collapsed">
[[Kategorie:IT-Grundschutz/Modellierung]]
Welche Aussagen zur Anwendung von Bausteinen auf Server sind korrekt?
[[Kategorie:ISMS/Modelle]]
A Der Baustein SYS.1.1 ''Allgemeiner Server'' ist nur dann anzuwenden, wenn es keinen betriebssystemspezifischen Baustein für einen Server gibt.
B Neben dem Baustein SYS.1.1 ''Allgemeiner Server'' ist immer auch der zutreffende betriebssystemspezifische Baustein anzuwenden. [richtig]
C Wenn es spezielle Bausteine für Server-Anwendungen (z.&nbsp;B.&nbsp; Web- oder Datenbankserver) gibt, muss der betriebssystemspezifische Baustein nicht angewendet werden.
D Für Virtualisierungsserver müssen neben dem Baustein sowohl der Baustein SYS.1.1 ''Allgemeiner Server ''als auch der zutreffende betriebssystemspezifische Baustein angewendet werden. [richtig]
<div class="mw-collapsible-content">
'''Die Antworten B und D sind richtig'''
</div>
</div>


<div class="toccolours mw-collapsible mw-collapsed">
Auf welche Zielobjekte ist bei der Modellierung der Baustein ISMS.1 ''Sicherheitsmanagement'' anzuwenden?
A Er MUSS gesondert auf jeden größeren Standort eines Informationsverbundes angewendet werden.
B Er MUSS einmal angewendet werden, und zwar auf den gesamten Informationsverbund.
C Er ist nur relevant, wenn der Informationsverbund eine gewisse Mindestgröße hat.
D Er MUSS für jedes Teilnetz gesondert angewendet werden, das bei der Strukturanalyse identifiziert wurde.
<div class="mw-collapsible-content">
'''Die Antwort B ist richtig.'''
</div>
</div>
[[Kategorie:Grundschutz/Modellierung]]
</noinclude>
</noinclude>

Aktuelle Version vom 31. Oktober 2024, 13:36 Uhr

IT-Grundschutz Modellierung - Zuordnung von Grundschutz-Bausteinen zu Zielobjekte

Beschreibung

IT-Grundschutz-Modell für einen Informationsverbund erstellen
  • Sicherheitsanforderungen für Zielobjekte bestimmen
  • Abhängigkeiten berücksichtigen
Entwicklung des Grundschutz-Modells

Auf Basis des IT-Grundschutz/Kompendiums

Modellierung

Anwendung der Bausteine IT-Grundschutz/Kompendiums auf die Komponenten eines Informationsverbundes

IT-Grundschutz-Modell
Ergebnis Beschreibung
Prüfplan Bestehende Systeme und Verfahren
Entwicklungskonzept Geplante Teile des Informationsverbundes
  • Berücksichtigung der Informationssicherheit bei Einführung neuer Elemente

Vorarbeiten

Arbeitsschritte Beschreibung
Informationsverbund Definition des Geltungsbereiches des Sicherheitskonzeptes
Strukturanalyse Identifikation der Zielobjekte
Schutzbedarfsfeststellung Schutzbedarf für Zielobjekte bestimmen

Vorgehen

Grundschutz-Bausteine

Auswahl Grundschutz-Bausteine

Welche Bausteine sind anzuwenden?

  • Schichten
  • Zielobjekte
Ideal

Kein passender Baustein

Kein passender Baustein für Zielobjekt

Risikoanalyse erforderlich

Abgrenzung von Bausteinen

Nicht jeder Baustein ist relevant

Beispiele
  1. Baustein CON.7 Informationssicherheit auf Auslandsreisen
    nur anzuwenden, wenn solche Reisen im Informationsverbund vorkommen
  2. Technischer Bausteine
    • Nur anzuwenden, wenn diese IT-Systemen eingesetzt werden
    • z.B. SYS.2.2.2 Clients unter Windows 8.1
Hinreichende Begründung
  • Geben Sie in solchen Fällen eine hinreichende Begründung für die Nichtanwendung eines Bausteins an
  • Kurz und aussagekräftig

Prozessorientierte Bausteine

Technischen Aspekten übergeordnet
Anwendung
Wichtige Bausteine

Systemorientierte Bausteine

Anwendung

Technische Objekte
  • Auf jedes System (Gruppe) einmal anwenden, das im Baustein adressiert wird
Mögliche Objekte
  • Anwendungen
  • IT-Systeme (z.B. Client, Server oder mobile Geräte)
  • Objekte aus dem Bereich der industriellen IT
  • Netze
  • Infrastrukturobjekte (Räume, Rechenzentrum, Verkabelung)

Mehrere Bausteine

Meist sind für IT-Systeme mehrere Bausteine anzuwenden
  • Alle Sicherheitsanforderungen angemessen berücksichtigen
Betriebssystemunabhängige Bausteine

Grundsätzliche Sicherheitsanforderungen

  • SYS.2.1 Allgemeiner Client
  • SYS.1.1 Allgemeiner Server
Betriebssystemspezifische Bausteine

Anforderungen für einzelne Betriebssysteme

  • SYS.2.2.3 Client unter Windows 10
  • SYS.1.2.2 Windows Server 2012
  • ...
Beispiel: Webserver

Webserver mit Unix

  • SYS.1.1 Allgemeiner Server
  • SYS.1.3 Server unter Unix
  • APP.3.2 Webserver

Virtuelle Systeme

Virtuelle Systeme werden modelliert wie physische Systeme
  • System
  • Betriebssystem
  • Anwendungen
  • Dienste
Beispiel

Wird ein Unix-Server als Virtualisierungsserver betrieben, so sind folgende Bausteine anzuwenden

  • SYS.1.1 Allgemeiner Server
  • SYS.1.3 Server unter Unix und
  • SYS.1.5 Virtualisierung
Physischen Server

Zusätzlich sind für jeden auf diesem physischen Server bereitgestellten virtuellen Server die üblichen Bausteine für Server anzuwenden.

Bare Metal Server

Für auf spezieller Hardware beruhende Virtualisierungsserver (sogenannte Bare Metal Server) gibt es keinen passenden Grundschutz-Baustein.

  • Solche IT-Systeme sind daher für eine Risikoanalyse vorzumerken

Dokumentation

Beispiel
  • In der Spalte Relevanz vermerken Sie, ob Bausteine für den Informationsverbund von Bedeutung sind oder nicht.
  • Diese Entscheidung können Sie unter Begründung näher erläutern.
Baustein nicht relevant
  • Hinreichende Begründung unabdingbar!
Dokumentation der Modellierung
Baustein Zielobjekte Relevanz Begründung Ansprechpartner
APP.5.2 Microsoft Exchange/Outlook Ja IT-Betrieb
INF.1 Allgemeines Gebäude Ja Haustechnik
INF.2 Rechenzentrum sowie Serverraum Ja IT-Betrieb
INF.4 IT-Verkabelung Informationsverbund Ja
INF.7 Büroarbeitsplatz bis Ja
INF.8 Häuslicher Arbeitsplatz Ja Die Vertriebsbüros werden wie Home Offices behandelt.
IND.2.2 Speicherprogrammierbare Steuerung (SPS) Ja
SYS.1.5 Virtualisierung Ja IT-Betrieb
SYS.3.1 Laptops bis Ja IT-Betrieb
OPS.3.1 Outsourcing für Dienstleister Nein Solche Dienste werden nicht angeboten.

Siehe auch Modellierung für die RECPLAST

Anforderungen anpassen

Grundschutz-Bausteine beschreiben Anforderungen

MUSS / SOLLTE

  • was zu geschehen ist
  • nicht aber, wie dies zu erfolgen hat
Sicherheitsmaßnahmen
  • Für die Ausarbeitung von Sicherheitskonzepten
  • wie auch für ein Prüfkonzept
  • ist es notwendig
  • zu den einzelnen Anforderungen
  • Geeignete Sicherheitsmaßnahmen formulieren
Umsetzungshinweise
  • Als Hilfsmittel hierfür gibt es zu den meisten Bausteinen des Grundschutz-Kompendiums Umsetzungshinweise
Angemessene Maßnahmen
Bewertung Beschreibung
wirksam Vor möglichen Gefährdungen schützen und den festgelegten identifizierten Schutzbedarf abdecken
geeignet Tatsächlich umsetzbar sein, ohne
  • Organisationsabläufe unverhältnismäßig zu behindern
  • Andere Sicherheitsmaßnahmen einzuschränken
praktikabel Leicht verständlich, einfach anzuwenden und wenig fehleranfällig
akzeptabel Barrierefrei, niemanden diskriminieren oder beeinträchtigen
wirtschaftlich Eingeführt und betrieben werden können, der mit ihrer Umsetzung verbundene Aufwand also in einem angemessenen Verhältnis zu den zu schützenden Werten steht.

Standard-Absicherung

Vorgehensweise Standard-Absicherung
  • Neben verpflichtenden Basis-Anforderungen
  • SOLLTEN in der Regel auch alle Standard-Anforderungen eines Bausteins erfüllt werden
Ausnahmen

In Einzelfällen sind Ausnahmen möglich

  • Wenn eine Anforderung nicht relevant ist
  • Ihre Erfüllung mit der Erfüllung anderer Anforderungen im Widerspruch steht

Dies ist auch bei Basis-Anforderungen möglich

  • Abweichungen sollten nachvollziehbar begründet werden
Aufwand
  • Für relevante, aber mit vertretbarem Aufwand nicht erfüllbare Anforderungen sollten Ersatzlösungen gefunden werden


Anhang

Siehe auch