|
|
(33 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) |
Zeile 1: |
Zeile 1: |
| '''IT-Grundschutz-Modellierung''' - Zuordnung von Grundschutz-Bausteinen zu Zielobjekte | | '''IT-Grundschutz/Modellierung''' - Zuordnung von Grundschutz-Bausteinen zu Zielobjekte |
| | | |
| == Beschreibung == | | === Beschreibung === |
| ; IT-Grundschutz-Modell für einen [[Informationsverbund]] erstellen | | ; IT-Grundschutz-Modell für einen [[Informationsverbund]] erstellen |
| * Sicherheitsanforderungen für Zielobjekte bestimmen | | * Sicherheitsanforderungen für Zielobjekte bestimmen |
Zeile 7: |
Zeile 7: |
|
| |
|
| ; Entwicklung des Grundschutz-Modells | | ; Entwicklung des Grundschutz-Modells |
| * Auf Basis des IT-Grundschutz-Kompendiums
| | Auf Basis des [[IT-Grundschutz/Kompendium]]s |
|
| |
|
| ; Modellierung | | ; Modellierung |
| Anwendung der Bausteine IT-Grundschutz-Kompendiums auf die Komponenten eines Informationsverbundes | | Anwendung der Bausteine IT-Grundschutz/Kompendiums auf die Komponenten eines Informationsverbundes |
|
| |
|
| ; IT-Grundschutz-Modell | | ; IT-Grundschutz-Modell |
Zeile 23: |
Zeile 23: |
| |} | | |} |
|
| |
|
| == Vorarbeiten == | | === Vorarbeiten === |
| {| class="wikitable options" | | {| class="wikitable options big" |
| |- | | |- |
| ! Arbeitsschritte !! Beschreibung | | ! Arbeitsschritte !! Beschreibung |
Zeile 35: |
Zeile 35: |
| |} | | |} |
|
| |
|
| == Vorgehen == | | === Vorgehen === |
| === Auswahl Grundschutz-Bausteine === | | ==== Grundschutz-Bausteine ==== |
| ; Festlegung, welche Bausteine anzuwenden sind | | ; Auswahl Grundschutz-Bausteine |
| Für die Sicherheit des Informationsverbundes
| | Welche Bausteine sind anzuwenden? |
| * Schichten | | * Schichten |
| * Zielobjekte | | * Zielobjekte |
| Hilfestellungen dazu finden Sie in Kapitel 2.2 ''Zuordnung anhand Schichtenmodell'' des IT-Grundschutz-[[Kompendium]]s.
| |
|
| |
|
| ; Ideal | | ; Ideal |
| * Alle [[Zielobjekt]]e des [[Informationsverbund]]es werden angemessen durch Grundschutz-Bausteine abgebildet | | * Alle [[Zielobjekt]]e des [[Informationsverbund]]es werden angemessen durch Grundschutz-Bausteine abgebildet |
|
| |
|
| ==== Kein passender Baustein für Zielobjekt ==== | | ==== Kein passender Baustein ==== |
| * [[IT-Grundschutz/Risikomanagement|Risikoanalyse]] erforderlich
| | Kein passender Baustein für Zielobjekt |
| * Dabei werden Gefährdungen und Sicherheitsanforderungen identifiziert | | ; [[IT-Grundschutz/Risikomanagement|Risikoanalyse]] erforderlich |
| * Diese sind in einem [[benutzerdefinierten Baustein]] zu dokumentieren | | * Gefährdungen und Sicherheitsanforderungen identifizieren |
| | * Dokumentation in einem [[Benutzerdefinierten Baustein]] |
|
| |
|
| ==== Abgrenzung von Bausteinen ==== | | ==== Abgrenzung von Bausteinen ==== |
| ; Nicht jeder Baustein ist relevant!
| | Nicht jeder Baustein ist relevant |
|
| |
|
| ; Beispiele | | ; Beispiele |
Zeile 67: |
Zeile 67: |
| === Prozessorientierte Bausteine === | | === Prozessorientierte Bausteine === |
| ; Technischen Aspekten übergeordnet | | ; Technischen Aspekten übergeordnet |
| * Einheitlich Regelung je Informationsverbund | | * Einheitlich Regelung je [[Informationsverbund]] |
|
| |
|
| ; Anwendung | | ; Anwendung |
| * Einmal pro Informationsverbund | | * Einmal pro [[Informationsverbund]] |
|
| |
|
| ; Wichtige Bausteine | | ; Wichtige Bausteine |
Zeile 131: |
Zeile 131: |
| * Solche IT-Systeme sind daher für eine Risikoanalyse vorzumerken | | * Solche IT-Systeme sind daher für eine Risikoanalyse vorzumerken |
|
| |
|
| == Dokumentation == | | === Dokumentation === |
| ; Beispiel | | ; Beispiel |
| * In der Spalte ''Relevanz'' vermerken Sie, ob Bausteine für den Informationsverbund von Bedeutung sind oder nicht. | | * In der Spalte ''Relevanz'' vermerken Sie, ob Bausteine für den Informationsverbund von Bedeutung sind oder nicht. |
Zeile 140: |
Zeile 140: |
|
| |
|
| ; Dokumentation der Modellierung | | ; Dokumentation der Modellierung |
| {| class="wikitable sortable options" | | {| class="wikitable options" |
| |- | | |- |
| ! Baustein !! Zielobjekte !! Relevanz !! Begründung !! Ansprechpartner | | ! Baustein !! Zielobjekte !! Relevanz !! Begründung !! Ansprechpartner |
Zeile 202: |
Zeile 202: |
| |} | | |} |
|
| |
|
| === Standard-Absicherung ===
| | == Standard-Absicherung == |
| ; Vorgehensweise Standard-Absicherung | | ; Vorgehensweise Standard-Absicherung |
| * Neben verpflichtenden Basis-Anforderungen | | * Neben verpflichtenden Basis-Anforderungen |
Zeile 209: |
Zeile 209: |
| ; Ausnahmen | | ; Ausnahmen |
| In Einzelfällen sind Ausnahmen möglich | | In Einzelfällen sind Ausnahmen möglich |
| * Weil eine Anforderung nicht relevant ist | | * Wenn eine Anforderung nicht relevant ist |
| * Ihre Erfüllung mit der Erfüllung anderer Anforderungen im Widerspruch steht | | * Ihre Erfüllung mit der Erfüllung anderer Anforderungen im Widerspruch steht |
|
| |
|
Zeile 217: |
Zeile 217: |
| ; Aufwand | | ; Aufwand |
| * Für relevante, aber mit vertretbarem Aufwand nicht erfüllbare Anforderungen sollten Ersatzlösungen gefunden werden | | * Für relevante, aber mit vertretbarem Aufwand nicht erfüllbare Anforderungen sollten Ersatzlösungen gefunden werden |
|
| |
| <noinclude> | | <noinclude> |
|
| |
|
| == Anhang == | | == Anhang == |
| === Siehe auch === | | === Siehe auch === |
| {{Special:PrefixIndex/Grundschutz/Modellierung}} | | {{Special:PrefixIndex/IT-Grundschutz/Modellierung}} |
| ==== Links ====
| |
| ===== Weblinks =====
| |
|
| |
|
| === TMP ===
| | [[Kategorie:IT-Grundschutz/Modellierung]] |
| Bei der Umsetzung von IT-Grundschutz muss der betrachtete Informationsverbund mit Hilfe der vorhandenen Bausteine nachgebildet werden, es müssen also die relevanten Sicherheitsanforderungen aus dem IT-GrundschutzKompendium zusammengetragen werden.
| | [[Kategorie:ISMS/Modelle]] |
| * Dafür müssen alle Prozesse, Anwendungen und IT-Systeme erfasst sein, beziehungsweise die Strukturanalyse und in der Regel eine Schutzbedarfsfeststellung vorliegen.
| |
| * Darauf aufbauend wird ein IT-Grundschutz-Modell des Informationsverbunds erstellt, das aus verschiedenen, gegebenenfalls auch mehrfach verwendeten IT-Grundschutz-Bausteinen besteht und eine Abbildung zwischen den Bausteinen und den sicherheitsrelevanten Aspekten des Informationsverbunds beinhaltet.
| |
| Das erstellte IT-Grundschutz-Modell ist unabhängig davon, ob der Informationsverbund aus bereits im Einsatz befindlichen IT-Systemen besteht oder ob es sich um einen Informationsverbund handelt, der sich erst im Planungsstadium befindet.
| |
| * Das Modell kann daher unterschiedlich verwendet werden:
| |
| * Das IT-Grundschutz-Modell eines bereits realisierten Informationsverbunds identifiziert über die verwendeten
| |
| Bausteine die relevanten Sicherheitsanforderungen.
| |
| * Es kann in Form eines Prüfplans benutzt werden, um einen
| |
| Soll-Ist-Vergleich durchzuführen.
| |
| * Das IT-Grundschutz-Modell eines geplanten Informationsverbunds stellt hingegen ein Entwicklungskonzept dar.
| |
| | |
| Es beschreibt über die ausgewählten Bausteine, welche Sicherheitsanforderungen bei der Realisierung des Informationsverbunds erfüllt werden müssen.
| |
| Typischerweise wird ein im Einsatz befindlicher Informationsverbund sowohl bereits realisierte als auch in Planung befindliche Anteile umfassen.
| |
| * Das resultierende IT-Grundschutz-Modell beinhaltet dann sowohl einen Prüfplan wie auch Anteile eines Entwicklungskonzepts.
| |
| * Alle im Prüfplan bzw.
| |
| * im Entwicklungskonzept vorgesehenen Sicherheitsanforderungen bilden gemeinsam die Basis für die Erstellung des Sicherheitskonzeptes.
| |
| Um einen im Allgemeinen komplexen Informationsverbund nach IT-Grundschutz zu modellieren, müssen die passenden Bausteine des IT-Grundschutz-Kompendiums ausgewählt und umgesetzt werden.
| |
| * Um diese Auswahl zu erleichtern, sind die Bausteine im IT-Grundschutz-Kompendium zunächst in Prozess- und System-Bausteine aufgeteilt und diese jeweils in einzelne Schichten untergliedert:
| |
| | |
| ; Prozess-Bausteine
| |
| Die Prozess-Bausteine, die in der Regel für sämtliche oder große Teile eines Informationsverbunds gleichermaßen gelten, unterteilen sich in die folgenden Schichten, die wiederum aus weiteren Teilschichten bestehen können.
| |
| * Die Schicht ISMS enthält als Grundlage für alle weiteren Aktivitäten im Sicherheitsprozess den Baustein Sicherheitsmanagement.
| |
| * Die Schicht ORP befasst sich mit organisatorischen und personellen Sicherheitsaspekten.
| |
| * In diese Schicht fallen beispielsweise die Bausteine Organisation und Personal.
| |
| * Die Schicht CON enthält Bausteine, die sich mit Konzepten und Vorgehensweisen befassen.
| |
| * Typische Bausteine der Schicht CON sind unter anderem Kryptokonzept und Datenschutz.
| |
| * Die Schicht OPS umfasst alle Sicherheitsaspekte betrieblicher Art.
| |
| * Insbesondere sind dies die Sicherheitsaspekte des operativen IT-Betriebs, sowohl bei einem Betrieb im Haus, als auch bei einem IT-Betrieb, der in Teilen oder komplett durch Dritte betrieben wird.
| |
| * Ebenso enthält er die Sicherheitsaspekte, die bei einem IT-Betrieb für Dritte zu beachten sind.
| |
| * Beispiele für die Schicht OPS sind die Bausteine Schutz vor Schadprogrammen und Outsourcing für Kunden.
| |
| * In der Schicht DER finden sich alle Bausteine, die für die Überprüfung der umgesetzten Sicherheitsmaßnahmen, die Detektion von Sicherheitsvorfällen sowie die geeigneten Reaktionen darauf relevant sind.
| |
| * Typische Bausteine der Schicht DER sind Behandlung von Sicherheitsvorfällen und Vorsorge für IT-Forensik.
| |
| | |
| Neben den Prozess-Bausteinen beinhaltet das IT-Grundschutz-Kompendium auch System-Bausteine.
| |
| * Diese werden in der Regel auf einzelne Zielobjekte oder Gruppen von Zielobjekten angewendet.
| |
| * Die System-Bausteine unterteilen sich in die folgenden Schichten. Ähnlich wie die Prozess-Bausteine können auch die System-Bausteine aus weiteren Teilschichten bestehen.
| |
| | |
| ; System-Bausteine
| |
| * Die Schicht APP beschäftigt sich mit der Absicherung von Anwendungen und Diensten, unter anderem in den Bereichen Kommunikation, Verzeichnisdienste, netzbasierte Dienste sowie Business- und Client-Anwendungen.
| |
| | |
| Typische Bausteine der Schicht APP sind Allgemeiner E-Mail-Client und -Server, Office-Produkte, Webserver und Relationale Datenbanken.
| |
| * Die Schicht SYS betrifft die einzelnen IT-Systeme des Informationsverbunds, die gegebenenfalls in Gruppen zusammengefasst wurden.
| |
| * Hier werden die Sicherheitsaspekte von Servern, Desktop-Systemen, Mobile Devices und sonstigen IT-Systemen wie Druckern und TK-Anlagen behandelt.
| |
| * Zur Schicht SYS gehören beispielsweise Bausteine zu konkreten Betriebssystemen, Allgemeine Smartphones und Tablets sowie Drucker, Kopierer und Multifunktionsgeräte.
| |
| * Die Schicht IND befasst sich mit Sicherheitsaspekten industrieller IT.
| |
| * In diese Schicht fallen beispielsweise die Bausteine Prozessleit- und Automatisierungstechnik, Allgemeine ICS-Komponente und Speicherprogrammierbare Steuerung (SPS).
| |
| * Die Schicht NET betrachtet die Vernetzungsaspekte, die sich nicht primär auf bestimmte IT-Systeme, sondern auf die Netzverbindungen und die Kommunikation beziehen.
| |
| * Dazu gehören zum Beispiel die Bausteine NetzManagement, Firewall und WLAN-Betrieb.
| |
| * Die Schicht INF befasst sich mit den baulich-technischen Gegebenheiten, hier werden Aspekte der infrastrukturellen Sicherheit zusammengeführt.
| |
| * Dies betrifft unter anderem die Bausteine Allgemeines Gebäude und Rechenzentrum.
| |
| | |
| ; Modellierung
| |
| Die Modellierung nach IT-Grundschutz besteht darin, für die Bausteine jeder Schicht zu entscheiden, ob und wie sie zur Abbildung des Informationsverbunds herangezogen werden können.
| |
| * Je nach betrachtetem Baustein kann es sich um unterschiedliche Zielobjekte handeln, beispielsweise um Anwendungen, IT-Systeme, Gruppen von Komponenten, Räume und Gebäude.
| |
| In den einzelnen Bausteinen ist in Kapitel 1.3 „Abgrenzung und Modellierung“ detailliert beschrieben, wann ein Baustein eingesetzt werden soll und auf welche Zielobjekte er anzuwenden ist.
| |
| Bei der Modellierung eines Informationsverbunds nach IT-Grundschutz kann es Zielobjekte geben, die mit den vorliegenden Bausteinen nicht hinreichend abgebildet werden können.
| |
| * In diesem Fall muss eine Risikoanalyse durchgeführt werden, wie sie in der IT-Grundschutz-Methodik beschrieben ist.
| |
| In vielen Teilschichten gibt es allgemeine Bausteine, die grundlegende Aspekte übergreifend für die spezifischen Bausteine beschreiben.
| |
| * Beispielsweise enthält SYS.2.1 Allgemeiner Client Anforderungen für alle Client-Betriebssysteme, die dann für macOS-, Windows- und Unix/Linux-Clients in den entsprechenden Bausteinen konkretisiert und ergänzt werden.
| |
| * Weitere Beispiele sind APP.2.1 Allgemeiner Verzeichnisdienst oder SYS.3.2.1 Allgemeine Smartphones und Tablets.
| |
| * Spezifische Bausteine sind stets in Verbindung mit den allgemeinen Bausteinen anzuwenden.
| |
| * Weiterhin stellen allgemeine Bausteine eine gute Grundlage für die Modellierung und Risikoanalyse dar, wenn für ein konkretes Zielobjekt kein spezifischer Baustein existiert.
| |
| Die nachfolgende Tabelle gibt einen ersten Überblick, auf welche Zielobjekttypen die Bausteine jeweils anzuwenden sind und in welcher Reihenfolge die Umsetzung der Bausteine erfolgen kann (Erläuterung zu R1, R2 und R3 in Kapitel 2.2 Bearbeitungsreihenfolge der Bausteine).
| |
| | |
| ; Schichtenmodell und Modellierung
| |
| Dabei gibt es Bausteine, die eindeutig zu Zielobjekttypen wie IT-System, Anwendung oder Informationsverbund/übergeordnete Aspekte zuzuordnen sind, d. h. diese Aspekte ausschließlich oder mehrheitlich behandeln.
| |
| * Einige Bausteine, wie z. B. OPS.1.2.4 Telearbeit oder INF.9 Mobiler Arbeitsplatz, lassen sich nicht eindeutig zu Zielobjekttypen zuordnen, da sie verschiedene Aspekte behandeln.
| |
| * Telearbeit behandelt z. B. Aspekte von IT-Systemen, Kommunikationsverbindungen, Informationsfluss, Datensicherung usw.
| |
| * Diese Bausteine haben somit Auswirkungen auf den gesamten Informationsverbund und werden daher dem Zielobjekttyp „Informationsverbund/übergeordnete Aspekte“ zugeordnet.
| |
| Die Zuordnung zu den Zielobjekten ist exemplarisch und dient zur besseren Einordnung und einfacherem Verständnis.
| |
| * In der individuellen Umsetzung von IT-Grundschutz bedeutet z. B. eine Zuordnung eines Bausteins zu „Informationsverbund/übergeordnete Aspekte“ nicht, dass dieser Zielobjekttyp angelegt werden muss.
| |
| * Vielmehr ist damit gemeint, dass der Baustein Auswirkungen auf den gesamten Informationsverbund und damit gegebenenfalls mehrere Zielobjekte haben kann.
| |
| | |
| Baustein Reihenfolge Anzuwenden auf Zielobjekttyp
| |
| ISMS.1 Sicherheitsmanagement R1 Informationsverbund/übergeordnete Aspekte
| |
| ORP.1 Organisation R1 Informationsverbund/übergeordnete Aspekte
| |
| ORP.2 Personal R1 Informationsverbund/übergeordnete Aspekte
| |
| ORP.3 Sensibilisierung und Schulung zur Infor- R1 Informationsverbund/übergeordnete Aspekte
| |
| mationssicherheit
| |
| ORP.4 Identitäts- und Berechtigungsmanage- R1 Informationsverbund/übergeordnete Aspekte
| |
| ment
| |
| ORP.5 Compliance Management (Anforde- R3 Informationsverbund/übergeordnete Aspekte
| |
| rungsmanagement)
| |
| CON.1 Kryptokonzept R3 Informationsverbund/übergeordnete Aspekte
| |
| CON.2 Datenschutz R2 Informationsverbund/übergeordnete Aspekte
| |
| CON.3 Datensicherungskonzept R1 Informationsverbund/übergeordnete Aspekte
| |
| CON.6 Löschen und Vernichten R1 Informationsverbund/übergeordnete Aspekte
| |
| CON.7 Informationssicherheit auf Auslands- R3 Informationsverbund/übergeordnete Aspekte
| |
| reisen
| |
| CON.8 Software-Entwicklung R3 Informationsverbund/übergeordnete Aspekte
| |
| CON.9 Informationsaustausch R3 Informationsverbund/übergeordnete Aspekte
| |
| CON.10 Entwicklung von Webanwendungen R2 Informationsverbund/übergeordnete Aspekte
| |
| CON.11.1 Geheimschutz VS-NUR FÜR DEN R3 Informationsverbund/übergeordnete Aspekte
| |
| DIENSTGEBRAUCH (VS-NfD)
| |
| OPS.1.1.1 Allgemeiner IT-Betrieb R1 Informationsverbund/übergeordnete Aspekte
| |
| OPS.1.1.2 Ordnungsgemäße IT-Administra- R1 Informationsverbund/übergeordnete Aspekte
| |
| tion
| |
| OPS.1.1.3 Patch- und Änderungsmanage- R1 Informationsverbund/übergeordnete Aspekte
| |
| ment
| |
| OPS.1.1.4 Schutz vor Schadprogrammen R1 Informationsverbund/übergeordnete Aspekte
| |
| OPS.1.1.5 Protokollierung R1 Informationsverbund/übergeordnete Aspekte
| |
| OPS.1.1.6 Software-Tests und -Freigaben R1 Informationsverbund/übergeordnete Aspekte
| |
| OPS.1.1.7 Systemmanagement R2 Informationsverbund/übergeordnete Aspekte
| |
| OPS.1.2.2 Archivierung R3 Informationsverbund/übergeordnete Aspekte
| |
| OPS.1.2.4 Telearbeit R2 Informationsverbund/übergeordnete Aspekte
| |
| OPS.1.2.5 Fernwartung R3 Informationsverbund/übergeordnete Aspekte
| |
| OPS.1.2.6 NTP -Zeitsynchronisation R2 Anwendung
| |
| 3IT-Grundschutz-Kompendium: Stand Februar 2023
| |
| Schichtenmodell und Modellierung
| |
| Baustein Reihenfolge Anzuwenden auf Zielobjekttyp
| |
| OPS.2.2 Cloud-Nutzung R2 Informationsverbund/übergeordnete Aspekte
| |
| OPS.2.3 Nutzung von Outsourcing R2 Informationsverbund/übergeordnete Aspekte
| |
| OPS.3.2 Anbieten von Outsourcing R3 Informationsverbund/übergeordnete Aspekte
| |
| DER.1 Detektion von sicherheitsrelevanten R1 Informationsverbund/übergeordnete Aspekte
| |
| Ereignissen
| |
| DER.2.1 Behandlung von Sicherheitsvorfällen R1 Informationsverbund/übergeordnete Aspekte
| |
| DER.2.2 Vorsorge für die IT-Forensik R3 Informationsverbund/übergeordnete Aspekte
| |
| DER.2.3 Bereinigung weitreichender Sicher- R3 Informationsverbund/übergeordnete Aspekte
| |
| heitsvorfälle
| |
| DER.3.1 Audits und Revisionen R3 Informationsverbund/übergeordnete Aspekte
| |
| DER.3.2 Revisionen auf Basis des Leitfadens R3 Informationsverbund/übergeordnete Aspekte
| |
| IS-Revision
| |
| DER.4 Notfallmanagement R3 Informationsverbund/übergeordnete Aspekte
| |
| APP.1.1 Office-Produkte R2 Anwendung
| |
| APP.1.2 Webbrowser R2 Anwendung
| |
| APP.1.4 Mobile Anwendungen (Apps) R2 Anwendung
| |
| APP.2.1 Allgemeiner Verzeichnisdienst R2 Anwendung
| |
| APP.2.2 Active Directory Domain Services R2 Anwendung
| |
| APP.2.3 OpenLDAP R2 Anwendung
| |
| APP.3.1 Webanwendungen und Webservices R2 Anwendung
| |
| APP.3.2 Webserver R2 Anwendung
| |
| APP.3.3 Fileserver R2 Anwendung
| |
| APP.3.4 Samba R2 Anwendung
| |
| APP.3.6 DNS-Server R2 Anwendung
| |
| APP.4.2 SAP-ERP-System R2 Anwendung
| |
| APP.4.3 Relationale Datenbanken R2 Anwendung
| |
| APP.4.4 Kubernetes R2 Anwendung
| |
| APP.4.6 SAP ABAP-Programmierung R2 Anwendung
| |
| APP.5.2 Microsoft Exchange und Outlook R2 Anwendung
| |
| APP.5.3 Allgemeiner E-Mail-Client und -Server R2 Anwendung
| |
| APP.5.4 Unified Communications und R2 Anwendung
| |
| Collaboration (UCC)
| |
| APP.6 Allgemeine Software R2 Anwendung
| |
| APP.7 Entwicklung von Individualsoftware R3 Informationsverbund/übergeordnete Aspekte
| |
| SYS.1.1 Allgemeiner Server R2 IT-System
| |
| SYS.1.2.2 Windows Server 2012 R2 IT-System
| |
| SYS.1.2.3 Windows Server R2 IT-System
| |
| SYS.1.3 Server unter Linux und Unix R2 IT-System
| |
| SYS.1.5 Virtualisierung R2 IT-System
| |
| SYS.1.6 Containerisierung R2 IT-System
| |
| SYS.1.7 IBM Z R2 IT-System
| |
| SYS.1.8 Speicherlösungen R2 IT-System
| |
| 4 IT-Grundschutz-Kompendium: Stand Februar 2023
| |
| Schichtenmodell und Modellierung
| |
| Baustein Reihenfolge Anzuwenden auf Zielobjekttyp
| |
| SYS.1.9 Terminalserver R2 IT-System
| |
| SYS.2.1 Allgemeiner Client R2 IT-System
| |
| SYS.2.2.3 Clients unter Windows R2 IT-System
| |
| SYS.2.3 Clients unter Linux und Unix R2 IT-System
| |
| SYS.2.4 Clients unter macOS R2 IT-System
| |
| SYS.2.5 Client-Virtualisierung R2 IT-System
| |
| SYS.2.6 Virtual Desktop Infrastructure R2 IT-System
| |
| SYS.3.1 Laptops R2 IT-System
| |
| SYS.3.2.1 Allgemeine Smartphones und R2 IT-System
| |
| Tablets
| |
| SYS.3.2.2 Mobile Device Management R2 Informationsverbund/übergeordnete Aspekte
| |
| (MDM)
| |
| SYS.3.2.3 iOS (for Enterprise) R2 IT-System
| |
| SYS.3.2.4 Android R2 IT-System
| |
| SYS.3.3 Mobiltelefon R2 IT-System
| |
| SYS.4.1 Drucker, Kopierer und Multifunktions- R2 IT-System
| |
| geräte
| |
| SYS.4.3 Eingebettete Systeme R2 IT-System
| |
| SYS.4.4 Allgemeines IoT-Gerät R2 IT-System
| |
| SYS.4.5 Wechseldatenträger R2 IT-System
| |
| NET.1.1 Netzarchitektur und -design R2 Netz
| |
| NET.1.2 Netzmanagement R2 IT-System
| |
| NET.2.1 WLAN-Betrieb R2 Netz
| |
| NET.2.2 WLAN-Nutzung R2 IT-System
| |
| NET.3.1 Router und Switches R2 IT-System
| |
| NET.3.2 Firewall R2 IT-System
| |
| NET.3.3 VPN R2 IT-System
| |
| NET.3.4 Network Access Control R2 IT-System
| |
| NET.4.1 TK-Anlagen R2 IT-System
| |
| NET.4.2 VoIP R2 Netz
| |
| NET.4.3 Faxgeräte und Faxserver R2 IT-System
| |
| IND.1 Prozessleit- und Automatisierungs- R2 Informationsverbund/übergeordnete Aspekte
| |
| technik
| |
| IND.2.1 Allgemeine ICS-Komponente R2 IT-System
| |
| IND.2.2 Speicherprogrammierbare Steuerung R2 IT-System
| |
| (SPS)
| |
| IND.2.3 Sensoren und Aktoren R2 IT-System
| |
| IND.2.4 Maschine R2 IT-System
| |
| IND.2.7 Safety Instrumented Systems R2 IT-System
| |
| IND.3.2 Fernwartung im industriellen Umfeld R2 IT-System
| |
| INF.1 Allgemeines Gebäude R2 Gebäude/Raum
| |
| INF.2 Rechenzentrum sowie Serverraum R2 Gebäude/Raum
| |
| 5IT-Grundschutz-Kompendium: Stand Februar 2023
| |
| Schichtenmodell und Modellierung
| |
| Baustein Reihenfolge Anzuwenden auf Zielobjekttyp
| |
| INF.5 Raum sowie Schrank für technische R2 Gebäude/Raum
| |
| Infrastruktur
| |
| INF.6 Datenträgerarchiv R2 Gebäude/Raum
| |
| INF.7 Büroarbeitsplatz R2 Gebäude/Raum
| |
| INF.8 Häuslicher Arbeitsplatz R2 Gebäude/Raum
| |
| INF.9 Mobiler Arbeitsplatz R2 Informationsverbund/übergeordnete Aspekte
| |
| INF.10 Besprechungs-, Veranstaltungs- und R2 Gebäude/Raum
| |
| Schulungsräume
| |
| INF.11 Allgemeines Fahrzeug R3 Gebäude/Raum
| |
| INF.12 Verkabelung R2 Gebäude/Raum
| |
| INF.13 Technisches Gebäudemanagement R2 Gebäude/Raum
| |
| INF.14 Gebäudeautomatisierung R2 Gebäude/Raum
| |
| | |
| ; Bearbeitungsreihenfolge der Bausteine
| |
| Um grundlegende Risiken abzudecken und eine ganzheitliche Informationssicherheit aufzubauen, müssen die essenziellen Sicherheitsanforderungen frühzeitig erfüllt und entsprechende Sicherheitsmaßnahmen umgesetzt werden.
| |
| * Daher wird im IT-Grundschutz mit R1, R2 und R3 eine Reihenfolge für die umzusetzenden Bausteine vorgeschlagen (siehe Kapitel 2.1 Modellierung).
| |
| • R1: Diese Bausteine sollten vorrangig umgesetzt werden, da sie die Grundlage für einen effektiven Sicherheitsprozess bilden.
| |
| • R2: Diese Bausteine sollten als nächstes umgesetzt werden, da sie in wesentlichen Teilen des Informationsverbundes für nachhaltige Sicherheit erforderlich sind.
| |
| • R3: Diese Bausteine werden zur Erreichung des angestrebten Sicherheitsniveaus ebenfalls benötigt und müssen umgesetzt werden.
| |
| * Es wird empfohlen, diese erst nach den anderen Bausteinen zu betrachten.
| |
| Diese Kennzeichnung zeigt eine sinnvolle zeitliche Reihenfolge für die Umsetzung der Anforderungen des jeweiligen Bausteins auf und stellt keine Gewichtung der Bausteine untereinander dar.
| |
| * Grundsätzlich müssen alle für den jeweiligen Informationsverbund relevanten Bausteine des IT-Grundschutz-Kompendiums umgesetzt werden.
| |
|
| |
|
| [[Kategorie:IT-Grundschutz/Modellierung]]
| |
| </noinclude> | | </noinclude> |