IT-Grundschutz/Modellierung: Unterschied zwischen den Versionen

Aus Foxwiki
Keine Bearbeitungszusammenfassung
Zeile 4: Zeile 4:
; IT-Grundschutz-Modell für einen [[Informationsverbund]]
; IT-Grundschutz-Modell für einen [[Informationsverbund]]
* Sicherheitsanforderungen für Zielobjekte bestimmen
* Sicherheitsanforderungen für Zielobjekte bestimmen
* Abhängigkeiten berücksichtigen


=== Vorarbeiten ===
=== Vorarbeiten ===
{| class="wikitable options"
{| class="wikitable options"
|-
|-
! Arbeitsschitte !! Beschreibung
! Arbeitsschritte !! Beschreibung
|-
|-
| [[Grundschutz/Informationsverbund| Informationsverbund]] || Definition des Geltungsbereiches des Sicherheitskonzeptes
| [[Grundschutz/Informationsverbund| Informationsverbund]] || Definition des Geltungsbereiches des Sicherheitskonzeptes

Version vom 19. September 2023, 11:42 Uhr

IT-Grundschutz-Modellierung - Zuordnung von Grundschutz-Bausteinen zu Zielobjekte

Beschreibung

IT-Grundschutz-Modell für einen Informationsverbund
  • Sicherheitsanforderungen für Zielobjekte bestimmen
  • Abhängigkeiten berücksichtigen

Vorarbeiten

Arbeitsschritte Beschreibung
Informationsverbund Definition des Geltungsbereiches des Sicherheitskonzeptes
Strukturanalyse Identifikation der Zielobjekte
Schutzbedarfsfeststellung Festlegung des Schutzbedarfes für die Zielobjekte

IT-Grundschutz-Modell

Ergebnis Beschreibung
Prüfplan Bestehende Systeme und Verfahren
Entwicklungskonzept Geplante Teile des Informationsverbundes
  • angemessenen Berücksichtigung der Informationssicherheit bei der Einführung neuer Elemente

Modellierung

Die Informationstechnik in Behörden und Unternehmen ist heute üblicherweise durch stark vernetzte IT-Systeme geprägt
  • In der Regel ist es daher zweckmäßig, im Rahmen einer IT-Sicherheitsanalyse bzw. 
  • IT-Sicherheitskonzeption die gesamte IT und nicht einzelne IT-Systeme zu betrachten.
  • Um diese Aufgabe bewältigen zu können, ist es sinnvoll, die gesamte IT in logisch getrennte Teile zu zerlegen und jeweils einen Teil, eben einen Informationsverbund, getrennt zu betrachten.
  • Voraussetzung für die Anwendung der IT-Grundschutz-Kataloge auf einen Informationsverbund sind detaillierte Unterlagen über seine Struktur.
  • Diese können beispielsweise über die oben beschriebene IT-Strukturanalyse gewonnen werden.
  • Anschließend müssen die Bausteine der IT-Grundschutz-Kataloge in einem Modellierungsschritt auf die Komponenten des vorliegenden Informationsverbundes abgebildet werden.

Vorgehen

IT-Grundschutz-Kompendium

Bei der Entwicklung des Grundschutz-Modells werden Sie durch das IT-Grundschutz-Kompendium unterstützt.

Auswahl der Grundschutz-Bausteine
  • die für die Sicherheit des betrachteten Informationsverbundes benötigen werden
  • Festlegung, welche Bausteine der einzelnen Schichten für welches Zielobjekt anzuwenden ist
  • Hilfestellungen dazu finden Sie in Kapitel 2.2 Zuordnung anhand Schichtenmodell des IT-Grundschutz-Kompendiums.
Ideal

Alle Zielobjekte des Informationsverbundes werden angemessen durch Grundschutz-Bausteine abgebildet

Kein passender Baustein
  • Für Zielobjekte, für die es keinen hinreichend passenden Baustein gibt, muss eine Grundschutz/Risikomanagement durchgeführt werden.
  • Dabei werden Gefährdungen und Sicherheitsanforderungen identifiziert, die in einem benutzerdefinierten Baustein zusammengeführt werden.
Nicht jeder Baustein ist relevant

Zum Beispiel müssen Sie den Baustein CON.7 Informationssicherheit auf Auslandsreisen natürlich nur dann anwenden, wenn solche Reisen in Ihrer Einrichtung üblich sind, und ebenso selbstverständlich erübrigt sich die Anwendung spezieller technischer Bausteine wie SYS.2.2.2 Clients unter Windows 8.1, wenn dieser Typ von -Systemen bei Ihnen nicht eingesetzt wird.

  • Geben Sie in solchen Fällen gleichwohl eine hinreichende Begründung für die Nichtanwendung eines Bausteins an, sie muss aussagekräftig, aber nicht lang sein.

Prozessorientierte Bausteine

Aspekte, die den technischen Aspekten eines Informationsverbundes übergeordnet und üblicherweise einheitlich zu regeln sind.
  • Diese Bausteine sind daher in der Regel einmal pro Informationsverbund anzuwenden.
  • Besonders wichtig sind die Bausteine zum Informationssicherheitsmanagement, der Organisation des -Betriebs, der Schulung und Sensibilisierung des Personals sowie der Detektion von und Reaktion auf Sicherheitsvorfälle.

Systemorientierte Bausteine

Technische Objekte und sind auf jedes technische System oder jede Gruppe technischer Systeme anzuwenden, die jeweils im Baustein adressiert werden.
  • Dies können bestimmte Anwendungen, -Systeme (z. B. Client, Server oder mobile Geräte), Objekte aus dem Bereich der industriellen , Netze oder auch Infrastrukturobjekte (Räume, Rechenzentrum, Verkabelung) sein.
  • Für eine Reihe technischer Systeme sind mehrere Bausteine anzuwenden, um die Gesamtheit der für das System relevanten Sicherheitsanforderungen abzudecken:

So gibt es für Clients und Server zum einen betriebssystemunabhängige Bausteine (SYS.2.1 Allgemeiner Client, SYS.1.1 Allgemeiner Server), in denen die grundsätzlichen Sicherheitsanforderungen dieser Systeme beschrieben werden, zum anderen aber auch betriebssystemspezifische Bausteine (z. B. SYS.2.2.3 Client unter Windows 10, SYS.1.2.2 Windows Server 2012), in denen ergänzend die besonderen Anforderungen dargestellt sind, die für dieses Betriebssystem gelten.

Webserver

Für einen Webserver, der mit einer Unix-Variante betrieben wird, sind damit die folgenden drei Bausteine in das Grundschutz-Modell aufzunehmen:

    • SYS.1.1 Allgemeiner Server
    • SYS.1.3 Server unter Unix
    • APP.3.2 Webserver
Virtuelle Systeme

Virtuelle Systeme sind in gleicher Weise zu modellieren wie physische, es sind also die Funktionen der Systeme, ihr Betriebssystem und die bereitgestellten Anwendungen und Dienste zu berücksichtigen.

  • Wird ein Unix-Server als Virtualisierungsserver betrieben, so sind auf diesen die drei Bausteine SYS.1.1 Allgemeiner Server, SYS.1.3 Server unter Unix und SYS.1.5 Virtualisierung anzuwenden.
  • Zusätzlich sind für jeden auf diesem physischen Server bereitgestellten virtuellen Server die üblichen Bausteine für Server anzuwenden.
  • Für auf spezieller Hardware beruhende Virtualisierungsserver (sogenannte Bare Metal Server) gibt es keinen passenden Grundschutz-Baustein. Solche -Systeme sind daher für eine Risikoanalyse vorzumerken.

Dokumentation

Beispiel
  • In der Spalte Relevanz vermerken Sie, ob Bausteine für den Informationsverbund von Bedeutung sind oder nicht.
  • Diese Entscheidung können Sie unter Begründung näher erläutern.
Baustein nicht relevant
  • Hinreichende Begründung unabdingbar!
Dokumentation der Modellierung
Baustein Zielobjekte Relevanz Begründung Ansprechpartner
APP.5.2 Microsoft Exchange/Outlook Ja IT-Betrieb
INF.1 Allgemeines Gebäude Ja Haustechnik
INF.2 Rechenzentrum sowie Serverraum Ja Betrieb
INF.4 IT-Verkabelung Informationsverbund Ja
INF.7 Büroarbeitsplatz bis Ja
INF.8 Häuslicher Arbeitsplatz Ja Die Vertriebsbüros werden wie Home Offices behandelt.
IND.2.2 Speicherprogrammierbare Steuerung (SPS) Ja
SYS.1.5 Virtualisierung Ja Betrieb
SYS.3.1 Laptops bis Ja Betrieb
OPS.3.1 Outsourcing für Dienstleister Nein Solche Dienste werden nicht angeboten.

Siehe auch Modellierung für die RECPLAST

Anforderungen anpassen

Grundschutz-Bausteine beschreiben Anforderungen, die eine Institution umsetzen MUSS oder SOLLTE
  • In ihnen ist also dargestellt, was zu geschehen ist, nicht aber, wie dies zu erfolgen hat.
  • Für die Ausarbeitung von Sicherheitskonzepten wie auch für ein Prüfkonzept ist es notwendig, zu den einzelnen Anforderungen geeignete Sicherheitsmaßnahmen zu formulieren.
Umsetzungshinweise
  • Als Hilfsmittel hierfür gibt es zu den meisten Bausteinen des Grundschutz-Kompendiums Umsetzungshinweise
Maßnahmen müssen angemessen sein
Bewertung Beschreibung
wirksam Vor möglichen Gefährdungen schützen und den festgelegten identifizierten Schutzbedarf abdecken
geeignet Tatsächlich umsetzbar sein, ohne
  • Organisationsabläufe unverhältnismäßig zu behindern
  • Andere Sicherheitsmaßnahmen einzuschränken
praktikabel Leicht verständlich, einfach anzuwenden und wenig fehleranfällig
Akzeptanz Barrierefrei sind, niemanden diskriminieren oder beeinträchtigen
wirtschaftlich eingeführt und betrieben werden können, der mit ihrer Umsetzung verbundene Aufwand also in einem angemessenen Verhältnis zu den zu schützenden Werten steht.
Standard-Absicherung

Bei der Vorgehensweise Standard-Absicherung sollten neben den verpflichtenden Basis-Anforderungen in der Regel immer auch alle Standard-Anforderungen eines Bausteins erfüllt werden.

  • Gleichwohl kann es in Einzelfällen zu Ausnahmen kommen, etwa weil eine Anforderung nicht relevant ist oder ihre Erfüllung mit der Erfüllung anderer Anforderungen im Widerspruch steht.
  • Dies ist auch bei Basis-Anforderungen möglich.
  • Solche Abweichungen sollten Sie nachvollziehbar begründen.
  • Für zwar relevante, aber mit vertretbarem Aufwand nicht erfüllbare Anforderungen sollten Sie Ersatzlösungen festlegen.


Anhang

Siehe auch

Sicherheit

Dokumentation

Links

Projekt
Weblinks