IT-Grundschutz/Modellierung: Unterschied zwischen den Versionen

Aus Foxwiki
Keine Bearbeitungszusammenfassung
 
(29 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
'''IT-Grundschutz-Modellierung''' - Zuordnung von Grundschutz-Bausteinen zu Zielobjekte
'''IT-Grundschutz/Modellierung''' - Zuordnung von Grundschutz-Bausteinen zu Zielobjekte
 
== Beschreibung ==
=== Beschreibung ===
; IT-Grundschutz-Modell für einen [[Informationsverbund]] erstellen
; IT-Grundschutz-Modell für einen [[Informationsverbund]] erstellen
* Sicherheitsanforderungen für Zielobjekte bestimmen
* Sicherheitsanforderungen für Zielobjekte bestimmen
Zeile 7: Zeile 7:


; Entwicklung des Grundschutz-Modells
; Entwicklung des Grundschutz-Modells
* Auf Basis des IT-Grundschutz-Kompendiums
Auf Basis des [[IT-Grundschutz/Kompendium]]s


; Modellierung
; Modellierung
Anwendung der Bausteine IT-Grundschutz-Kompendiums auf die Komponenten eines Informationsverbundes
Anwendung der Bausteine IT-Grundschutz/Kompendiums auf die Komponenten eines Informationsverbundes


; IT-Grundschutz-Modell
; IT-Grundschutz-Modell
Zeile 23: Zeile 23:
|}
|}


== Vorarbeiten ==
=== Vorarbeiten ===
{| class="wikitable options"
{| class="wikitable options big"
|-
|-
! Arbeitsschritte !! Beschreibung
! Arbeitsschritte !! Beschreibung
Zeile 35: Zeile 35:
|}
|}


== Vorgehen ==
=== Vorgehen ===
=== Auswahl Grundschutz-Bausteine ===
==== Grundschutz-Bausteine ====
; Festlegung, welche Bausteine anzuwenden sind
; Auswahl Grundschutz-Bausteine
Für die Sicherheit des Informationsverbundes
Welche Bausteine sind anzuwenden?
* Schichten
* Schichten
* Zielobjekte
* Zielobjekte
Zeile 45: Zeile 45:
* Alle [[Zielobjekt]]e des [[Informationsverbund]]es werden angemessen durch Grundschutz-Bausteine abgebildet
* Alle [[Zielobjekt]]e des [[Informationsverbund]]es werden angemessen durch Grundschutz-Bausteine abgebildet


==== Kein passender Baustein für Zielobjekt ====
==== Kein passender Baustein ====
* [[IT-Grundschutz/Risikomanagement|Risikoanalyse]] erforderlich
Kein passender Baustein für Zielobjekt
* Dabei werden Gefährdungen und Sicherheitsanforderungen identifiziert
; [[IT-Grundschutz/Risikomanagement|Risikoanalyse]] erforderlich
* Diese sind in einem [[benutzerdefinierten Baustein]] zu dokumentieren
* Gefährdungen und Sicherheitsanforderungen identifizieren
* Dokumentation in einem [[Benutzerdefinierten Baustein]]


==== Abgrenzung von Bausteinen ====
==== Abgrenzung von Bausteinen ====
; Nicht jeder Baustein ist relevant
Nicht jeder Baustein ist relevant


; Beispiele
; Beispiele
Zeile 130: Zeile 131:
* Solche IT-Systeme sind daher für eine Risikoanalyse vorzumerken
* Solche IT-Systeme sind daher für eine Risikoanalyse vorzumerken


== Dokumentation ==
=== Dokumentation ===
; Beispiel
; Beispiel
* In der Spalte ''Relevanz'' vermerken Sie, ob Bausteine für den Informationsverbund von Bedeutung sind oder nicht.
* In der Spalte ''Relevanz'' vermerken Sie, ob Bausteine für den Informationsverbund von Bedeutung sind oder nicht.
Zeile 139: Zeile 140:


; Dokumentation der Modellierung
; Dokumentation der Modellierung
{| class="wikitable sortable options"
{| class="wikitable options"
|-
|-
! Baustein !! Zielobjekte !! Relevanz !! Begründung !! Ansprechpartner
! Baustein !! Zielobjekte !! Relevanz !! Begründung !! Ansprechpartner
Zeile 201: Zeile 202:
|}
|}


=== Standard-Absicherung ===
== Standard-Absicherung ==
; Vorgehensweise Standard-Absicherung
; Vorgehensweise Standard-Absicherung
* Neben verpflichtenden Basis-Anforderungen  
* Neben verpflichtenden Basis-Anforderungen  
Zeile 208: Zeile 209:
; Ausnahmen
; Ausnahmen
In Einzelfällen sind Ausnahmen möglich
In Einzelfällen sind Ausnahmen möglich
* Weil eine Anforderung nicht relevant ist
* Wenn eine Anforderung nicht relevant ist
* Ihre Erfüllung mit der Erfüllung anderer Anforderungen im Widerspruch steht
* Ihre Erfüllung mit der Erfüllung anderer Anforderungen im Widerspruch steht


Zeile 216: Zeile 217:
; Aufwand
; Aufwand
* Für relevante, aber mit vertretbarem Aufwand nicht erfüllbare Anforderungen sollten Ersatzlösungen gefunden werden
* Für relevante, aber mit vertretbarem Aufwand nicht erfüllbare Anforderungen sollten Ersatzlösungen gefunden werden
<noinclude>
<noinclude>


== Anhang ==
== Anhang ==
=== Siehe auch ===
=== Siehe auch ===
{{Special:PrefixIndex/Grundschutz/Modellierung}}
{{Special:PrefixIndex/IT-Grundschutz/Modellierung}}
==== Links ====
===== Weblinks =====


=== TMP ===
[[Kategorie:IT-Grundschutz/Modellierung]]
Bei der Umsetzung von IT-Grundschutz muss der betrachtete Informationsverbund mit Hilfe der vorhandenen Bausteine nachgebildet werden, es müssen also die relevanten Sicherheitsanforderungen aus dem IT-GrundschutzKompendium zusammengetragen werden.
[[Kategorie:ISMS/Modelle]]
* Dafür müssen alle Prozesse, Anwendungen und IT-Systeme erfasst sein, beziehungsweise die Strukturanalyse und in der Regel eine Schutzbedarfsfeststellung vorliegen.
* Darauf aufbauend wird ein IT-Grundschutz-Modell des Informationsverbunds erstellt, das aus verschiedenen, gegebenenfalls auch mehrfach verwendeten IT-Grundschutz-Bausteinen besteht und eine Abbildung zwischen den Bausteinen und den sicherheitsrelevanten Aspekten des Informationsverbunds beinhaltet.
Das erstellte IT-Grundschutz-Modell ist unabhängig davon, ob der Informationsverbund aus bereits im Einsatz befindlichen IT-Systemen besteht oder ob es sich um einen Informationsverbund handelt, der sich erst im Planungsstadium befindet.
* Das Modell kann daher unterschiedlich verwendet werden:
* Das IT-Grundschutz-Modell eines bereits realisierten Informationsverbunds identifiziert über die verwendeten
Bausteine die relevanten Sicherheitsanforderungen.
* Es kann in Form eines Prüfplans benutzt werden, um einen
Soll-Ist-Vergleich durchzuführen.
* Das IT-Grundschutz-Modell eines geplanten Informationsverbunds stellt hingegen ein Entwicklungskonzept dar.
 
Es beschreibt über die ausgewählten Bausteine, welche Sicherheitsanforderungen bei der Realisierung des Informationsverbunds erfüllt werden müssen.
Typischerweise wird ein im Einsatz befindlicher Informationsverbund sowohl bereits realisierte als auch in Planung befindliche Anteile umfassen.
* Das resultierende IT-Grundschutz-Modell beinhaltet dann sowohl einen Prüfplan wie auch Anteile eines Entwicklungskonzepts.
* Alle im Prüfplan bzw.
* im Entwicklungskonzept vorgesehenen Sicherheitsanforderungen bilden gemeinsam die Basis für die Erstellung des Sicherheitskonzeptes.
Um einen im Allgemeinen komplexen Informationsverbund nach IT-Grundschutz zu modellieren, müssen die passenden Bausteine des IT-Grundschutz-Kompendiums ausgewählt und umgesetzt werden.
* Um diese Auswahl zu erleichtern, sind die Bausteine im IT-Grundschutz-Kompendium zunächst in Prozess- und System-Bausteine aufgeteilt und diese jeweils in einzelne Schichten untergliedert:
 
; Prozess-Bausteine
Die Prozess-Bausteine, die in der Regel für sämtliche oder große Teile eines Informationsverbunds gleichermaßen gelten, unterteilen sich in die folgenden Schichten, die wiederum aus weiteren Teilschichten bestehen können.
* Die Schicht ISMS enthält als Grundlage für alle weiteren Aktivitäten im Sicherheitsprozess den Baustein Sicherheitsmanagement.
* Die Schicht ORP befasst sich mit organisatorischen und personellen Sicherheitsaspekten.
* In diese Schicht fallen beispielsweise die Bausteine Organisation und Personal.
* Die Schicht CON enthält Bausteine, die sich mit Konzepten und Vorgehensweisen befassen.
* Typische Bausteine der Schicht CON sind unter anderem Kryptokonzept und Datenschutz.
* Die Schicht OPS umfasst alle Sicherheitsaspekte betrieblicher Art.
* Insbesondere sind dies die Sicherheitsaspekte des operativen IT-Betriebs, sowohl bei einem Betrieb im Haus, als auch bei einem IT-Betrieb, der in Teilen oder komplett durch Dritte betrieben wird.
* Ebenso enthält er die Sicherheitsaspekte, die bei einem IT-Betrieb für Dritte zu beachten sind.
* Beispiele für die Schicht OPS sind die Bausteine Schutz vor Schadprogrammen und Outsourcing für Kunden.
* In der Schicht DER finden sich alle Bausteine, die für die Überprüfung der umgesetzten Sicherheitsmaßnahmen, die Detektion von Sicherheitsvorfällen sowie die geeigneten Reaktionen darauf relevant sind.
* Typische Bausteine der Schicht DER sind Behandlung von Sicherheitsvorfällen und Vorsorge für IT-Forensik.
 
Neben den Prozess-Bausteinen beinhaltet das IT-Grundschutz-Kompendium auch System-Bausteine.
* Diese werden in der Regel auf einzelne Zielobjekte oder Gruppen von Zielobjekten angewendet.
* Die System-Bausteine unterteilen sich in die folgenden Schichten. Ähnlich wie die Prozess-Bausteine können auch die System-Bausteine aus weiteren Teilschichten bestehen.
 
; System-Bausteine
* Die Schicht APP beschäftigt sich mit der Absicherung von Anwendungen und Diensten, unter anderem in den Bereichen Kommunikation, Verzeichnisdienste, netzbasierte Dienste sowie Business- und Client-Anwendungen.
 
Typische Bausteine der Schicht APP sind Allgemeiner E-Mail-Client und -Server, Office-Produkte, Webserver und Relationale Datenbanken.
* Die Schicht SYS betrifft die einzelnen IT-Systeme des Informationsverbunds, die gegebenenfalls in Gruppen zusammengefasst wurden.
* Hier werden die Sicherheitsaspekte von Servern, Desktop-Systemen, Mobile Devices und sonstigen IT-Systemen wie Druckern und TK-Anlagen behandelt.
* Zur Schicht SYS gehören beispielsweise Bausteine zu konkreten Betriebssystemen, Allgemeine Smartphones und Tablets sowie Drucker, Kopierer und Multifunktionsgeräte.
* Die Schicht IND befasst sich mit Sicherheitsaspekten industrieller IT.
* In diese Schicht fallen beispielsweise die Bausteine Prozessleit- und Automatisierungstechnik, Allgemeine ICS-Komponente und Speicherprogrammierbare Steuerung (SPS).
* Die Schicht NET betrachtet die Vernetzungsaspekte, die sich nicht primär auf bestimmte IT-Systeme, sondern auf die Netzverbindungen und die Kommunikation beziehen.
* Dazu gehören zum Beispiel die Bausteine NetzManagement, Firewall und WLAN-Betrieb.
* Die Schicht INF befasst sich mit den baulich-technischen Gegebenheiten, hier werden Aspekte der infrastrukturellen Sicherheit zusammengeführt.
* Dies betrifft unter anderem die Bausteine Allgemeines Gebäude und Rechenzentrum.
 
; Modellierung
Die Modellierung nach IT-Grundschutz besteht darin, für die Bausteine jeder Schicht zu entscheiden, ob und wie sie zur Abbildung des Informationsverbunds herangezogen werden können.
* Je nach betrachtetem Baustein kann es sich um unterschiedliche Zielobjekte handeln, beispielsweise um Anwendungen, IT-Systeme, Gruppen von Komponenten, Räume und Gebäude.
In den einzelnen Bausteinen ist in Kapitel 1.3 „Abgrenzung und Modellierung“ detailliert beschrieben, wann ein Baustein eingesetzt werden soll und auf welche Zielobjekte er anzuwenden ist.
Bei der Modellierung eines Informationsverbunds nach IT-Grundschutz kann es Zielobjekte geben, die mit den vorliegenden Bausteinen nicht hinreichend abgebildet werden können.
* In diesem Fall muss eine Risikoanalyse durchgeführt werden, wie sie in der IT-Grundschutz-Methodik beschrieben ist.
In vielen Teilschichten gibt es allgemeine Bausteine, die grundlegende Aspekte übergreifend für die spezifischen Bausteine beschreiben.
* Beispielsweise enthält SYS.2.1 Allgemeiner Client Anforderungen für alle Client-Betriebssysteme, die dann für macOS-, Windows- und Unix/Linux-Clients in den entsprechenden Bausteinen konkretisiert und ergänzt werden.
* Weitere Beispiele sind APP.2.1 Allgemeiner Verzeichnisdienst oder SYS.3.2.1 Allgemeine Smartphones und Tablets.
* Spezifische Bausteine sind stets in Verbindung mit den allgemeinen Bausteinen anzuwenden.
* Weiterhin stellen allgemeine Bausteine eine gute Grundlage für die Modellierung und Risikoanalyse dar, wenn für ein konkretes Zielobjekt kein spezifischer Baustein existiert.
Die nachfolgende Tabelle gibt einen ersten Überblick, auf welche Zielobjekttypen die Bausteine jeweils anzuwenden sind und in welcher Reihenfolge die Umsetzung der Bausteine erfolgen kann (Erläuterung zu R1, R2 und R3 in Kapitel 2.2 Bearbeitungsreihenfolge der Bausteine).
 
; Schichtenmodell und Modellierung
Dabei gibt es Bausteine, die eindeutig zu Zielobjekttypen wie IT-System, Anwendung oder Informationsverbund/übergeordnete Aspekte zuzuordnen sind, d.&nbsp;h.&nbsp;diese Aspekte ausschließlich oder mehrheitlich behandeln.
* Einige Bausteine, wie z.&nbsp;B.&nbsp;OPS.1.2.4 Telearbeit oder INF.9 Mobiler Arbeitsplatz, lassen sich nicht eindeutig zu Zielobjekttypen zuordnen, da sie verschiedene Aspekte behandeln.
* Telearbeit behandelt z.&nbsp;B.&nbsp;Aspekte von IT-Systemen, Kommunikationsverbindungen, Informationsfluss, Datensicherung usw.
* Diese Bausteine haben somit Auswirkungen auf den gesamten Informationsverbund und werden daher dem Zielobjekttyp „Informationsverbund/übergeordnete Aspekte“ zugeordnet.
Die Zuordnung zu den Zielobjekten ist exemplarisch und dient zur besseren Einordnung und einfacherem Verständnis.
* In der individuellen Umsetzung von IT-Grundschutz bedeutet z.&nbsp;B.&nbsp;eine Zuordnung eines Bausteins zu „Informationsverbund/übergeordnete Aspekte“ nicht, dass dieser Zielobjekttyp angelegt werden muss.
* Vielmehr ist damit gemeint, dass der Baustein Auswirkungen auf den gesamten Informationsverbund und damit gegebenenfalls mehrere Zielobjekte haben kann.
 
Baustein Reihenfolge Anzuwenden auf Zielobjekttyp
ISMS.1 Sicherheitsmanagement R1 Informationsverbund/übergeordnete Aspekte
ORP.1 Organisation R1 Informationsverbund/übergeordnete Aspekte
ORP.2 Personal R1 Informationsverbund/übergeordnete Aspekte
ORP.3 Sensibilisierung und Schulung zur Infor- R1 Informationsverbund/übergeordnete Aspekte
mationssicherheit
ORP.4 Identitäts- und Berechtigungsmanage- R1 Informationsverbund/übergeordnete Aspekte
ment
ORP.5 Compliance Management (Anforde- R3 Informationsverbund/übergeordnete Aspekte
rungsmanagement)
CON.1 Kryptokonzept R3 Informationsverbund/übergeordnete Aspekte
CON.2 Datenschutz R2 Informationsverbund/übergeordnete Aspekte
CON.3 Datensicherungskonzept R1 Informationsverbund/übergeordnete Aspekte
CON.6 Löschen und Vernichten R1 Informationsverbund/übergeordnete Aspekte
CON.7 Informationssicherheit auf Auslands- R3 Informationsverbund/übergeordnete Aspekte
reisen
CON.8 Software-Entwicklung R3 Informationsverbund/übergeordnete Aspekte
CON.9 Informationsaustausch R3 Informationsverbund/übergeordnete Aspekte
CON.10 Entwicklung von Webanwendungen R2 Informationsverbund/übergeordnete Aspekte
CON.11.1 Geheimschutz VS-NUR FÜR DEN R3 Informationsverbund/übergeordnete Aspekte
DIENSTGEBRAUCH (VS-NfD)
OPS.1.1.1 Allgemeiner IT-Betrieb R1 Informationsverbund/übergeordnete Aspekte
OPS.1.1.2 Ordnungsgemäße IT-Administra- R1 Informationsverbund/übergeordnete Aspekte
tion
OPS.1.1.3 Patch- und Änderungsmanage- R1 Informationsverbund/übergeordnete Aspekte
ment
OPS.1.1.4 Schutz vor Schadprogrammen R1 Informationsverbund/übergeordnete Aspekte
OPS.1.1.5 Protokollierung R1 Informationsverbund/übergeordnete Aspekte
OPS.1.1.6 Software-Tests und -Freigaben R1 Informationsverbund/übergeordnete Aspekte
OPS.1.1.7 Systemmanagement R2 Informationsverbund/übergeordnete Aspekte
OPS.1.2.2 Archivierung R3 Informationsverbund/übergeordnete Aspekte
OPS.1.2.4 Telearbeit R2 Informationsverbund/übergeordnete Aspekte
OPS.1.2.5 Fernwartung R3 Informationsverbund/übergeordnete Aspekte
OPS.1.2.6 NTP -Zeitsynchronisation R2 Anwendung
3IT-Grundschutz-Kompendium: Stand Februar 2023
Schichtenmodell und Modellierung
Baustein Reihenfolge Anzuwenden auf Zielobjekttyp
OPS.2.2 Cloud-Nutzung R2 Informationsverbund/übergeordnete Aspekte
OPS.2.3 Nutzung von Outsourcing R2 Informationsverbund/übergeordnete Aspekte
OPS.3.2 Anbieten von Outsourcing R3 Informationsverbund/übergeordnete Aspekte
DER.1 Detektion von sicherheitsrelevanten R1 Informationsverbund/übergeordnete Aspekte
Ereignissen
DER.2.1 Behandlung von Sicherheitsvorfällen R1 Informationsverbund/übergeordnete Aspekte
DER.2.2 Vorsorge für die IT-Forensik R3 Informationsverbund/übergeordnete Aspekte
DER.2.3 Bereinigung weitreichender Sicher- R3 Informationsverbund/übergeordnete Aspekte
heitsvorfälle
DER.3.1 Audits und Revisionen R3 Informationsverbund/übergeordnete Aspekte
DER.3.2 Revisionen auf Basis des Leitfadens R3 Informationsverbund/übergeordnete Aspekte
IS-Revision
DER.4 Notfallmanagement R3 Informationsverbund/übergeordnete Aspekte
APP.1.1 Office-Produkte R2 Anwendung
APP.1.2 Webbrowser R2 Anwendung
APP.1.4 Mobile Anwendungen (Apps) R2 Anwendung
APP.2.1 Allgemeiner Verzeichnisdienst R2 Anwendung
APP.2.2 Active Directory Domain Services R2 Anwendung
APP.2.3 OpenLDAP R2 Anwendung
APP.3.1 Webanwendungen und Webservices R2 Anwendung
APP.3.2 Webserver R2 Anwendung
APP.3.3 Fileserver R2 Anwendung
APP.3.4 Samba R2 Anwendung
APP.3.6 DNS-Server R2 Anwendung
APP.4.2 SAP-ERP-System R2 Anwendung
APP.4.3 Relationale Datenbanken R2 Anwendung
APP.4.4 Kubernetes R2 Anwendung
APP.4.6 SAP ABAP-Programmierung R2 Anwendung
APP.5.2 Microsoft Exchange und Outlook R2 Anwendung
APP.5.3 Allgemeiner E-Mail-Client und -Server R2 Anwendung
APP.5.4 Unified Communications und R2 Anwendung
Collaboration (UCC)
APP.6 Allgemeine Software R2 Anwendung
APP.7 Entwicklung von Individualsoftware R3 Informationsverbund/übergeordnete Aspekte
SYS.1.1 Allgemeiner Server R2 IT-System
SYS.1.2.2 Windows Server 2012 R2 IT-System
SYS.1.2.3 Windows Server R2 IT-System
SYS.1.3 Server unter Linux und Unix R2 IT-System
SYS.1.5 Virtualisierung R2 IT-System
SYS.1.6 Containerisierung R2 IT-System
SYS.1.7 IBM Z R2 IT-System
SYS.1.8 Speicherlösungen R2 IT-System
4 IT-Grundschutz-Kompendium: Stand Februar 2023
Schichtenmodell und Modellierung
Baustein Reihenfolge Anzuwenden auf Zielobjekttyp
SYS.1.9 Terminalserver R2 IT-System
SYS.2.1 Allgemeiner Client R2 IT-System
SYS.2.2.3 Clients unter Windows R2 IT-System
SYS.2.3 Clients unter Linux und Unix R2 IT-System
SYS.2.4 Clients unter macOS R2 IT-System
SYS.2.5 Client-Virtualisierung R2 IT-System
SYS.2.6 Virtual Desktop Infrastructure R2 IT-System
SYS.3.1 Laptops R2 IT-System
SYS.3.2.1 Allgemeine Smartphones und R2 IT-System
Tablets
SYS.3.2.2 Mobile Device Management R2 Informationsverbund/übergeordnete Aspekte
(MDM)
SYS.3.2.3 iOS (for Enterprise) R2 IT-System
SYS.3.2.4 Android R2 IT-System
SYS.3.3 Mobiltelefon R2 IT-System
SYS.4.1 Drucker, Kopierer und Multifunktions- R2 IT-System
geräte
SYS.4.3 Eingebettete Systeme R2 IT-System
SYS.4.4 Allgemeines IoT-Gerät R2 IT-System
SYS.4.5 Wechseldatenträger R2 IT-System
NET.1.1 Netzarchitektur und -design R2 Netz
NET.1.2 Netzmanagement R2 IT-System
NET.2.1 WLAN-Betrieb R2 Netz
NET.2.2 WLAN-Nutzung R2 IT-System
NET.3.1 Router und Switches R2 IT-System
NET.3.2 Firewall R2 IT-System
NET.3.3 VPN R2 IT-System
NET.3.4 Network Access Control R2 IT-System
NET.4.1 TK-Anlagen R2 IT-System
NET.4.2 VoIP R2 Netz
NET.4.3 Faxgeräte und Faxserver R2 IT-System
IND.1 Prozessleit- und Automatisierungs- R2 Informationsverbund/übergeordnete Aspekte
technik
IND.2.1 Allgemeine ICS-Komponente R2 IT-System
IND.2.2 Speicherprogrammierbare Steuerung R2 IT-System
(SPS)
IND.2.3 Sensoren und Aktoren R2 IT-System
IND.2.4 Maschine R2 IT-System
IND.2.7 Safety Instrumented Systems R2 IT-System
IND.3.2 Fernwartung im industriellen Umfeld R2 IT-System
INF.1 Allgemeines Gebäude R2 Gebäude/Raum
INF.2 Rechenzentrum sowie Serverraum R2 Gebäude/Raum
5IT-Grundschutz-Kompendium: Stand Februar 2023
Schichtenmodell und Modellierung
Baustein Reihenfolge Anzuwenden auf Zielobjekttyp
INF.5 Raum sowie Schrank für technische R2 Gebäude/Raum
Infrastruktur
INF.6 Datenträgerarchiv R2 Gebäude/Raum
INF.7 Büroarbeitsplatz R2 Gebäude/Raum
INF.8 Häuslicher Arbeitsplatz R2 Gebäude/Raum
INF.9 Mobiler Arbeitsplatz R2 Informationsverbund/übergeordnete Aspekte
INF.10 Besprechungs-, Veranstaltungs- und R2 Gebäude/Raum
Schulungsräume
INF.11 Allgemeines Fahrzeug R3 Gebäude/Raum
INF.12 Verkabelung R2 Gebäude/Raum
INF.13 Technisches Gebäudemanagement R2 Gebäude/Raum
INF.14 Gebäudeautomatisierung R2 Gebäude/Raum
 
; Bearbeitungsreihenfolge der Bausteine
Um grundlegende Risiken abzudecken und eine ganzheitliche Informationssicherheit aufzubauen, müssen die essenziellen Sicherheitsanforderungen frühzeitig erfüllt und entsprechende Sicherheitsmaßnahmen umgesetzt werden.
* Daher wird im IT-Grundschutz mit R1, R2 und R3 eine Reihenfolge für die umzusetzenden Bausteine vorgeschlagen (siehe Kapitel 2.1 Modellierung).
• R1: Diese Bausteine sollten vorrangig umgesetzt werden, da sie die Grundlage für einen effektiven Sicherheitsprozess bilden.
• R2: Diese Bausteine sollten als nächstes umgesetzt werden, da sie in wesentlichen Teilen des Informationsverbundes für nachhaltige Sicherheit erforderlich sind.
• R3: Diese Bausteine werden zur Erreichung des angestrebten Sicherheitsniveaus ebenfalls benötigt und müssen umgesetzt werden.
* Es wird empfohlen, diese erst nach den anderen Bausteinen zu betrachten.
Diese Kennzeichnung zeigt eine sinnvolle zeitliche Reihenfolge für die Umsetzung der Anforderungen des jeweiligen Bausteins auf und stellt keine Gewichtung der Bausteine untereinander dar.
* Grundsätzlich müssen alle für den jeweiligen Informationsverbund relevanten Bausteine des IT-Grundschutz-Kompendiums umgesetzt werden.


[[Kategorie:IT-Grundschutz/Modellierung]]
</noinclude>
</noinclude>

Aktuelle Version vom 25. November 2024, 21:15 Uhr

IT-Grundschutz/Modellierung - Zuordnung von Grundschutz-Bausteinen zu Zielobjekte

Beschreibung

IT-Grundschutz-Modell für einen Informationsverbund erstellen
  • Sicherheitsanforderungen für Zielobjekte bestimmen
  • Abhängigkeiten berücksichtigen
Entwicklung des Grundschutz-Modells

Auf Basis des IT-Grundschutz/Kompendiums

Modellierung

Anwendung der Bausteine IT-Grundschutz/Kompendiums auf die Komponenten eines Informationsverbundes

IT-Grundschutz-Modell
Ergebnis Beschreibung
Prüfplan Bestehende Systeme und Verfahren
Entwicklungskonzept Geplante Teile des Informationsverbundes
  • Berücksichtigung der Informationssicherheit bei Einführung neuer Elemente

Vorarbeiten

Arbeitsschritte Beschreibung
Informationsverbund Definition des Geltungsbereiches des Sicherheitskonzeptes
Strukturanalyse Identifikation der Zielobjekte
Schutzbedarfsfeststellung Schutzbedarf für Zielobjekte bestimmen

Vorgehen

Grundschutz-Bausteine

Auswahl Grundschutz-Bausteine

Welche Bausteine sind anzuwenden?

  • Schichten
  • Zielobjekte
Ideal

Kein passender Baustein

Kein passender Baustein für Zielobjekt

Risikoanalyse erforderlich

Abgrenzung von Bausteinen

Nicht jeder Baustein ist relevant

Beispiele
  1. Baustein CON.7 Informationssicherheit auf Auslandsreisen
    nur anzuwenden, wenn solche Reisen im Informationsverbund vorkommen
  2. Technischer Bausteine
    • Nur anzuwenden, wenn diese IT-Systemen eingesetzt werden
    • z.B. SYS.2.2.2 Clients unter Windows 8.1
Hinreichende Begründung
  • Geben Sie in solchen Fällen eine hinreichende Begründung für die Nichtanwendung eines Bausteins an
  • Kurz und aussagekräftig

Prozessorientierte Bausteine

Technischen Aspekten übergeordnet
Anwendung
Wichtige Bausteine

Systemorientierte Bausteine

Anwendung

Technische Objekte
  • Auf jedes System (Gruppe) einmal anwenden, das im Baustein adressiert wird
Mögliche Objekte
  • Anwendungen
  • IT-Systeme (z.B. Client, Server oder mobile Geräte)
  • Objekte aus dem Bereich der industriellen IT
  • Netze
  • Infrastrukturobjekte (Räume, Rechenzentrum, Verkabelung)

Mehrere Bausteine

Meist sind für IT-Systeme mehrere Bausteine anzuwenden
  • Alle Sicherheitsanforderungen angemessen berücksichtigen
Betriebssystemunabhängige Bausteine

Grundsätzliche Sicherheitsanforderungen

  • SYS.2.1 Allgemeiner Client
  • SYS.1.1 Allgemeiner Server
Betriebssystemspezifische Bausteine

Anforderungen für einzelne Betriebssysteme

  • SYS.2.2.3 Client unter Windows 10
  • SYS.1.2.2 Windows Server 2012
  • ...
Beispiel: Webserver

Webserver mit Unix

  • SYS.1.1 Allgemeiner Server
  • SYS.1.3 Server unter Unix
  • APP.3.2 Webserver

Virtuelle Systeme

Virtuelle Systeme werden modelliert wie physische Systeme
  • System
  • Betriebssystem
  • Anwendungen
  • Dienste
Beispiel

Wird ein Unix-Server als Virtualisierungsserver betrieben, so sind folgende Bausteine anzuwenden

  • SYS.1.1 Allgemeiner Server
  • SYS.1.3 Server unter Unix und
  • SYS.1.5 Virtualisierung
Physischen Server

Zusätzlich sind für jeden auf diesem physischen Server bereitgestellten virtuellen Server die üblichen Bausteine für Server anzuwenden.

Bare Metal Server

Für auf spezieller Hardware beruhende Virtualisierungsserver (sogenannte Bare Metal Server) gibt es keinen passenden Grundschutz-Baustein.

  • Solche IT-Systeme sind daher für eine Risikoanalyse vorzumerken

Dokumentation

Beispiel
  • In der Spalte Relevanz vermerken Sie, ob Bausteine für den Informationsverbund von Bedeutung sind oder nicht.
  • Diese Entscheidung können Sie unter Begründung näher erläutern.
Baustein nicht relevant
  • Hinreichende Begründung unabdingbar!
Dokumentation der Modellierung
Baustein Zielobjekte Relevanz Begründung Ansprechpartner
APP.5.2 Microsoft Exchange/Outlook Ja IT-Betrieb
INF.1 Allgemeines Gebäude Ja Haustechnik
INF.2 Rechenzentrum sowie Serverraum Ja IT-Betrieb
INF.4 IT-Verkabelung Informationsverbund Ja
INF.7 Büroarbeitsplatz bis Ja
INF.8 Häuslicher Arbeitsplatz Ja Die Vertriebsbüros werden wie Home Offices behandelt.
IND.2.2 Speicherprogrammierbare Steuerung (SPS) Ja
SYS.1.5 Virtualisierung Ja IT-Betrieb
SYS.3.1 Laptops bis Ja IT-Betrieb
OPS.3.1 Outsourcing für Dienstleister Nein Solche Dienste werden nicht angeboten.

Siehe auch Modellierung für die RECPLAST

Anforderungen anpassen

Grundschutz-Bausteine beschreiben Anforderungen

MUSS / SOLLTE

  • was zu geschehen ist
  • nicht aber, wie dies zu erfolgen hat
Sicherheitsmaßnahmen
  • Für die Ausarbeitung von Sicherheitskonzepten
  • wie auch für ein Prüfkonzept
  • ist es notwendig
  • zu den einzelnen Anforderungen
  • Geeignete Sicherheitsmaßnahmen formulieren
Umsetzungshinweise
  • Als Hilfsmittel hierfür gibt es zu den meisten Bausteinen des Grundschutz-Kompendiums Umsetzungshinweise
Angemessene Maßnahmen
Bewertung Beschreibung
wirksam Vor möglichen Gefährdungen schützen und den festgelegten identifizierten Schutzbedarf abdecken
geeignet Tatsächlich umsetzbar sein, ohne
  • Organisationsabläufe unverhältnismäßig zu behindern
  • Andere Sicherheitsmaßnahmen einzuschränken
praktikabel Leicht verständlich, einfach anzuwenden und wenig fehleranfällig
akzeptabel Barrierefrei, niemanden diskriminieren oder beeinträchtigen
wirtschaftlich Eingeführt und betrieben werden können, der mit ihrer Umsetzung verbundene Aufwand also in einem angemessenen Verhältnis zu den zu schützenden Werten steht.

Standard-Absicherung

Vorgehensweise Standard-Absicherung
  • Neben verpflichtenden Basis-Anforderungen
  • SOLLTEN in der Regel auch alle Standard-Anforderungen eines Bausteins erfüllt werden
Ausnahmen

In Einzelfällen sind Ausnahmen möglich

  • Wenn eine Anforderung nicht relevant ist
  • Ihre Erfüllung mit der Erfüllung anderer Anforderungen im Widerspruch steht

Dies ist auch bei Basis-Anforderungen möglich

  • Abweichungen sollten nachvollziehbar begründet werden
Aufwand
  • Für relevante, aber mit vertretbarem Aufwand nicht erfüllbare Anforderungen sollten Ersatzlösungen gefunden werden


Anhang

Siehe auch