IT-Grundschutz/Informationsverbund: Unterschied zwischen den Versionen
Keine Bearbeitungszusammenfassung |
|||
| (11 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
| Zeile 1: | Zeile 1: | ||
'''Informationsverbund''' - | '''Informationsverbund''' - Im [[IT-Grundschutz]] betrachteter Bereich | ||
=== Beschreibung === | |||
IT-Sicherheitsanalyse und IT-Sicherheitskonzeption | |||
* Informationstechnik ist durch vernetzte IT-Systeme geprägt | * Informationstechnik ist durch vernetzte IT-Systeme geprägt | ||
| Zeile 8: | Zeile 8: | ||
* Nicht einzelne IT-Systeme | * Nicht einzelne IT-Systeme | ||
; Teile und Herrsche | ; Teilverbünde definieren | ||
Um diese Aufgabe bewältigen zu können, ist es sinnvoll | Teile und Herrsche | ||
* Um diese Aufgabe bewältigen zu können, ist es sinnvoll | |||
* IT-Struktur in logisch getrennte Teile zerlegen | * IT-Struktur in logisch getrennte Teile zerlegen | ||
* Jeweils einen Teil (Informationsverbund) getrennt betrachten | * Jeweils einen Teil (Informationsverbund) getrennt betrachten | ||
; | ; Ausprägungen | ||
* | Informationsverbund | ||
* gesamte IT einer Institution | |||
* einzelne Bereiche | * einzelne Bereiche | ||
; Struktur | ; Gliederung | ||
Voraussetzung für die Anwendung des IT-Grundschutz | * Organisatorische Strukturen | ||
: z. B. Abteilungsnetz | |||
* Gemeinsame [[Anwendungsprogramm|IT-Anwendungen]] | |||
: z. B. Personalinformationssystem | |||
; IT-Strukturanalyse | |||
* Detaillierte Informationen über die Struktur des Informationsverbundes | |||
* Voraussetzung für die Anwendung des IT-Grundschutz/Kompendiums | |||
; Komponenten | ; Komponenten | ||
| Zeile 36: | Zeile 43: | ||
|} | |} | ||
=== Festlegung eines Informationsverbundes === | |||
==== Größe ==== | |||
; Sinnvolle Mindestgröße | ; Sinnvolle Mindestgröße | ||
* Für eine umfassende Sicherheit ist die gesamte Institution zu betrachten | * Für eine umfassende Sicherheit ist die gesamte Institution zu betrachten | ||
| Zeile 44: | Zeile 51: | ||
Insbesondere bei größeren Institutionen und dann, wenn Sicherheitsmaßnahmen bislang eher punktuell und ohne ein zugrunde liegendes systematisches Konzept vorgenommen wurden, ist es allerdings oft praktikabler sich (zunächst) auf '''Teilbereiche''' zu konzentrieren. | Insbesondere bei größeren Institutionen und dann, wenn Sicherheitsmaßnahmen bislang eher punktuell und ohne ein zugrunde liegendes systematisches Konzept vorgenommen wurden, ist es allerdings oft praktikabler sich (zunächst) auf '''Teilbereiche''' zu konzentrieren. | ||
==== Teilbereiche ==== | |||
; Gut abgrenzbar | ; Gut abgrenzbar | ||
* organisatorischen Strukturen | * organisatorischen Strukturen | ||
| Zeile 54: | Zeile 61: | ||
* Geschäftsprozesse/Fachaufgaben | * Geschäftsprozesse/Fachaufgaben | ||
Einzelne Clients, Server oder Netzverbindungen sind als Untersuchungsgegenstand ungeeignet | |||
==== Schnittstellen ==== | |||
Bei der Definition des Informationsverbundes müssen Schnittstellen genau beschrieben werden | |||
* Insbesondere bei der Zusammenarbeit mit externer Partnern | * Insbesondere bei der Zusammenarbeit mit externer Partnern | ||
=== Erstaufnahme des Informationsverbundes === | === Erstaufnahme des Informationsverbundes === | ||
In der initialen Phase des Sicherheitsprozesses ist es nicht erforderlich, Anwendungen und -Infrastruktur detailliert zu beschreiben. | ; In der initialen Phase des Sicherheitsprozesses ist es nicht erforderlich, Anwendungen und -Infrastruktur detailliert zu beschreiben. | ||
* Zunächst geht es vielmehr darum, besonders wichtige Geschäftsprozesse, die im Geltungsbereich des Konzepts angesiedelt sind, hinsichtlich ihrer Anforderungen an die Informationssicherheit zu charakterisieren. | * Zunächst geht es vielmehr darum, besonders wichtige Geschäftsprozesse, die im Geltungsbereich des Konzepts angesiedelt sind, hinsichtlich ihrer Anforderungen an die Informationssicherheit zu charakterisieren. | ||
* Dabei reicht es zu wissen, welche Prozesse sehr hohe, hohe oder lediglich normale Schutzanforderungen haben. | * Dabei reicht es zu wissen, welche Prozesse sehr hohe, hohe oder lediglich normale Schutzanforderungen haben. | ||
Auf dieser Basis wird dann eine '''Erstaufnahme des Informationsverbundes''' angefertigt | ; Erstaufnahme des Informationsverbundes | ||
Auf dieser Basis wird dann eine '''Erstaufnahme des Informationsverbundes''' angefertigt | |||
; Folgende Informationen und Detailangaben müssen dabei strukturiert ( tabellarisch) zusammengetragen werden | |||
* Geschäftsprozesse im Informationsverbund (Name, Beschreibung, fachverantwortliche Stelle), | * Geschäftsprozesse im Informationsverbund (Name, Beschreibung, fachverantwortliche Stelle), | ||
* Anwendungen in diesen Prozessen (Name und Beschreibungen), | * Anwendungen in diesen Prozessen (Name und Beschreibungen), | ||
| Zeile 74: | Zeile 82: | ||
* virtuelle Systeme (entsprechend gekennzeichnet und benannt). | * virtuelle Systeme (entsprechend gekennzeichnet und benannt). | ||
Ein grafischer Netzplan ist eine hilfreiche Ergänzung zur tabellarischen Zusammenstellung der -Systeme | Ein grafischer Netzplan ist eine hilfreiche Ergänzung zur tabellarischen Zusammenstellung der -Systeme | ||
Die ermittelten Komponenten, wie auch der Informationsverbund als Ganzes, sind '''Zielobjekte''' des Sicherheitskonzepts | ; Die ermittelten Komponenten, wie auch der Informationsverbund als Ganzes, sind '''Zielobjekte''' des Sicherheitskonzepts | ||
* Bereits vor dessen eigentlicher Entwicklung sollten Sie einschätzen, welches Schutzniveau für die verschiedenen Zielobjekte erforderlich ist, die Sie bei der Erstaufnahme identifiziert haben. | * Bereits vor dessen eigentlicher Entwicklung sollten Sie einschätzen, welches Schutzniveau für die verschiedenen Zielobjekte erforderlich ist, die Sie bei der Erstaufnahme identifiziert haben. | ||
<noinclude> | |||
==== Anhang ==== | ==== Anhang ==== | ||
===== Siehe auch ===== | ===== Siehe auch ===== | ||
Aktuelle Version vom 24. Oktober 2024, 11:53 Uhr
Informationsverbund - Im IT-Grundschutz betrachteter Bereich
Beschreibung
IT-Sicherheitsanalyse und IT-Sicherheitskonzeption
- Informationstechnik ist durch vernetzte IT-Systeme geprägt
- Gesamte IT betrachten
- Nicht einzelne IT-Systeme
- Teilverbünde definieren
Teile und Herrsche
- Um diese Aufgabe bewältigen zu können, ist es sinnvoll
- IT-Struktur in logisch getrennte Teile zerlegen
- Jeweils einen Teil (Informationsverbund) getrennt betrachten
- Ausprägungen
Informationsverbund
- gesamte IT einer Institution
- einzelne Bereiche
- Gliederung
- Organisatorische Strukturen
- z. B. Abteilungsnetz
- Gemeinsame IT-Anwendungen
- z. B. Personalinformationssystem
- IT-Strukturanalyse
- Detaillierte Informationen über die Struktur des Informationsverbundes
- Voraussetzung für die Anwendung des IT-Grundschutz/Kompendiums
- Komponenten
| Komponente | Beschreibung |
|---|---|
| Infrastruktur | |
| Organisation | |
| Personen | |
| Technik |
Festlegung eines Informationsverbundes
Größe
- Sinnvolle Mindestgröße
- Für eine umfassende Sicherheit ist die gesamte Institution zu betrachten
- Größeren Institutionen
Insbesondere bei größeren Institutionen und dann, wenn Sicherheitsmaßnahmen bislang eher punktuell und ohne ein zugrunde liegendes systematisches Konzept vorgenommen wurden, ist es allerdings oft praktikabler sich (zunächst) auf Teilbereiche zu konzentrieren.
Teilbereiche
- Gut abgrenzbar
- organisatorischen Strukturen
- Anwendungen
- Wesentliche Aufgaben und Geschäftsprozesse der Institution umfassen
- Sinnvolle Teilbereiche
- Organisationseinheiten
- Geschäftsprozesse/Fachaufgaben
Einzelne Clients, Server oder Netzverbindungen sind als Untersuchungsgegenstand ungeeignet
Schnittstellen
Bei der Definition des Informationsverbundes müssen Schnittstellen genau beschrieben werden
- Insbesondere bei der Zusammenarbeit mit externer Partnern
Erstaufnahme des Informationsverbundes
- In der initialen Phase des Sicherheitsprozesses ist es nicht erforderlich, Anwendungen und -Infrastruktur detailliert zu beschreiben.
- Zunächst geht es vielmehr darum, besonders wichtige Geschäftsprozesse, die im Geltungsbereich des Konzepts angesiedelt sind, hinsichtlich ihrer Anforderungen an die Informationssicherheit zu charakterisieren.
- Dabei reicht es zu wissen, welche Prozesse sehr hohe, hohe oder lediglich normale Schutzanforderungen haben.
- Erstaufnahme des Informationsverbundes
Auf dieser Basis wird dann eine Erstaufnahme des Informationsverbundes angefertigt
- Folgende Informationen und Detailangaben müssen dabei strukturiert ( tabellarisch) zusammengetragen werden
- Geschäftsprozesse im Informationsverbund (Name, Beschreibung, fachverantwortliche Stelle),
- Anwendungen in diesen Prozessen (Name und Beschreibungen),
- -Systeme und -Komponenten (Name, Systemplattform und eventuell Aufstellungsort),
- für den Informationsverbund wichtige Räume wie Rechenzentrum oder Serverräume (Art, Raumnummer und Gebäude) sowie
- virtuelle Systeme (entsprechend gekennzeichnet und benannt).
Ein grafischer Netzplan ist eine hilfreiche Ergänzung zur tabellarischen Zusammenstellung der -Systeme
- Die ermittelten Komponenten, wie auch der Informationsverbund als Ganzes, sind Zielobjekte des Sicherheitskonzepts
- Bereits vor dessen eigentlicher Entwicklung sollten Sie einschätzen, welches Schutzniveau für die verschiedenen Zielobjekte erforderlich ist, die Sie bei der Erstaufnahme identifiziert haben.