IT-Grundschutz/Schutzbedarf/Systeme: Unterschied zwischen den Versionen
K Textersetzung - „Kategorie:Grundschutz“ durch „Kategorie:IT-Grundschutz“ Markierung: Manuelle Zurücksetzung |
K Dirkwagner verschob die Seite Grundschutz/Schutzbedarf/Systeme nach IT-Grundschutz/Schutzbedarf/Systeme: Textersetzung - „^Grundschutz“ durch „IT-Grundschutz“ |
||
(kein Unterschied)
|
Aktuelle Version vom 24. Oktober 2024, 10:57 Uhr
- Systeme werden eingesetzt, um Anwendungen zu unterstützen.
- Der Schutzbedarf eines Systems hängt damit im Wesentlichen von dem Schutzbedarf derjenigen Anwendungen ab, für deren Ausführung es benötigt wird.
- Der Schutzbedarf der Anwendung vererbt sich wie oben beschrieben auf den Schutzbedarf des Systems.
- Nachfolgend einige Hinweise zu speziellen Typen von Systemen
- In virtualisierten Infrastrukturen werden in der Regel mehrere Systeme auf einem Virtualisierungsserver betrieben. Der Schutzbedarf der einzelnen virtuellen Systeme ergibt sich aus dem der Anwendungen, der des Virtualisierungsservers ergibt sich daraus zunächst nach dem Maximumprinzip. Wenn aber mehrere Schäden zu einem höheren Gesamtschaden führen können, kann sich der Schutzbedarf des Virtualisierungsservers durch Kumulation erhöhen. Für das Schutzziel Verfügbarkeit gilt: Wenn durch Konzepte der Virtualisierung Redundanzen geschaffen werden, kann wegen des Verteilungseffekts der Schutzbedarf des Virtualisierungsservers wieder gesenkt werden.
- Den Schutzbedarf von -Komponenten sollten Sie gemeinsam mit den Anlagenverantwortlichen auf Grundlage des Anwendungszwecks festlegen. Dabei kann es sinnvoll sein, die Definition der Schutzbedarfskategorien an die besonderen Bedingungen einer Produktionsumgebung anzupassen.
- Für sonstige Geräte (z. B. aus dem Bereich Internet of Things) müssen Sie zunächst feststellen, für welche Geschäftsprozesse und Anwendungen sie eingesetzt werden. Zur Ermittlung des Schutzbedarfs eines Geräts betrachten Sie den möglichen Schaden für den jeweiligen Geschäftsprozess. Sie sollten nur Geräte erfassen, die einen nennenswerten Einfluss auf die Informationssicherheit haben, und sie möglichst zu Gruppen zusammenfassen.
Auch der Schutzbedarf für die Systeme sollte für jeden der drei Grundwerte (Vertraulichkeit, Integrität und Verfügbarkeit) festgelegt und anschließend tabellarisch dokumentiert werden. Ein Beispiel:
- Schutzbedarfsfeststellung für Systeme
Bezeichnung und Beschreibung | Schutzziel und Schutzbedarf | Begründung |
---|---|---|
S007 Virtualisierungsserver | Vertraulichkeit:hoch | Maximumprinzip:Der Domain Controller beinhaltet das Active Directory und damit die Anmeldeinformationen aller Mitarbeiter. |
Integrität:hoch | Maximumprinzip:Der Dateiserver verwaltet Dateien, deren Korrektheit für den Geschäftsbetrieb sichergestellt sein muss. | |
Verfügbarkeit:hoch | Kumulationseffekt:Sowohl der Domain Controller als auch der Dateiserver haben jeder (sehr) hohe Verfügbarkeitsanforderungen. Daraus ergibt sich für den Virtualisierungsserver ein sehr hoher Schutzbedarf.Alle virtualisierten Systeme können aber innerhalb kurzer Zeit auf dem anderen Virtualisierungsserver zur Verfügung gestellt werden. Durch diesen Verteilungseffekt reduziert sich der Schutzbedarf auf ein nur noch hohes Niveau. | |
N001 Internet-Router | Vertraulichkeit:hoch | Es werden auch vertrauliche Informationen über die Internet-Anbindung übertragen, wenn ein Kunde oder Geschäftspartner eine verschlüsselte Kommunikation nicht unterstützt. |
Integrität:normal | Fehlerhafte Daten können in der Regel leicht erkannt werden. | |
Verfügbarkeit:normal | Ein Ausfall der Internet-Anbindung kann für 24 Stunden toleriert werden. | |
N002 Firewall | Vertraulichkeit:hoch | Es werden auch vertrauliche Informationen über die Internet-Anbindung übertragen, wenn ein Kunde oder Geschäftspartner eine verschlüsselte Kommunikation nicht unterstützt. Außerdem werden die verschlüsselten Verbindungen zu den Vertriebsbüros über die Firewall abgewickelt. |
Integrität:normal | Fehlerhafte Daten können in der Regel leicht erkannt werden. | |
Verfügbarkeit:normal | Ein Ausfall der Internet-Anbindung kann für 24 Stunden toleriert werden. | |
S200 Alarmanlagen | Vertraulichkeit:normal | Die Alarmanlagen verarbeiten keine vertraulichen Informationen. |
Integrität:sehr hoch | Das korrekte Funktionieren der Alarmanlagen ist für die Sicherheit der Gebäude sehr wichtig. | |
Verfügbarkeit:sehr hoch | Das korrekte Funktionieren der Alarmanlagen ist für die Sicherheit der Gebäude sehr wichtig. |