|
|
| Zeile 224: |
Zeile 224: |
| ==== Links ==== | | ==== Links ==== |
| ===== Weblinks ===== | | ===== Weblinks ===== |
|
| |
| === TMP ===
| |
| Bei der Umsetzung von IT-Grundschutz muss der betrachtete Informationsverbund mit Hilfe der vorhandenen Bausteine nachgebildet werden, es müssen also die relevanten Sicherheitsanforderungen aus dem IT-GrundschutzKompendium zusammengetragen werden.
| |
| * Dafür müssen alle Prozesse, Anwendungen und IT-Systeme erfasst sein, beziehungsweise die Strukturanalyse und in der Regel eine Schutzbedarfsfeststellung vorliegen.
| |
| * Darauf aufbauend wird ein IT-Grundschutz-Modell des Informationsverbunds erstellt, das aus verschiedenen, gegebenenfalls auch mehrfach verwendeten IT-Grundschutz-Bausteinen besteht und eine Abbildung zwischen den Bausteinen und den sicherheitsrelevanten Aspekten des Informationsverbunds beinhaltet.
| |
| Das erstellte IT-Grundschutz-Modell ist unabhängig davon, ob der Informationsverbund aus bereits im Einsatz befindlichen IT-Systemen besteht oder ob es sich um einen Informationsverbund handelt, der sich erst im Planungsstadium befindet.
| |
| * Das Modell kann daher unterschiedlich verwendet werden:
| |
| * Das IT-Grundschutz-Modell eines bereits realisierten Informationsverbunds identifiziert über die verwendeten
| |
| Bausteine die relevanten Sicherheitsanforderungen.
| |
| * Es kann in Form eines Prüfplans benutzt werden, um einen
| |
| Soll-Ist-Vergleich durchzuführen.
| |
| * Das IT-Grundschutz-Modell eines geplanten Informationsverbunds stellt hingegen ein Entwicklungskonzept dar.
| |
|
| |
| Es beschreibt über die ausgewählten Bausteine, welche Sicherheitsanforderungen bei der Realisierung des Informationsverbunds erfüllt werden müssen.
| |
| Typischerweise wird ein im Einsatz befindlicher Informationsverbund sowohl bereits realisierte als auch in Planung befindliche Anteile umfassen.
| |
| * Das resultierende IT-Grundschutz-Modell beinhaltet dann sowohl einen Prüfplan wie auch Anteile eines Entwicklungskonzepts.
| |
| * Alle im Prüfplan bzw.
| |
| * im Entwicklungskonzept vorgesehenen Sicherheitsanforderungen bilden gemeinsam die Basis für die Erstellung des Sicherheitskonzeptes.
| |
| Um einen im Allgemeinen komplexen Informationsverbund nach IT-Grundschutz zu modellieren, müssen die passenden Bausteine des IT-Grundschutz-Kompendiums ausgewählt und umgesetzt werden.
| |
| * Um diese Auswahl zu erleichtern, sind die Bausteine im IT-Grundschutz-Kompendium zunächst in Prozess- und System-Bausteine aufgeteilt und diese jeweils in einzelne Schichten untergliedert:
| |
|
| |
| ; Prozess-Bausteine
| |
| Die Prozess-Bausteine, die in der Regel für sämtliche oder große Teile eines Informationsverbunds gleichermaßen gelten, unterteilen sich in die folgenden Schichten, die wiederum aus weiteren Teilschichten bestehen können.
| |
| * Die Schicht ISMS enthält als Grundlage für alle weiteren Aktivitäten im Sicherheitsprozess den Baustein Sicherheitsmanagement.
| |
| * Die Schicht ORP befasst sich mit organisatorischen und personellen Sicherheitsaspekten.
| |
| * In diese Schicht fallen beispielsweise die Bausteine Organisation und Personal.
| |
| * Die Schicht CON enthält Bausteine, die sich mit Konzepten und Vorgehensweisen befassen.
| |
| * Typische Bausteine der Schicht CON sind unter anderem Kryptokonzept und Datenschutz.
| |
| * Die Schicht OPS umfasst alle Sicherheitsaspekte betrieblicher Art.
| |
| * Insbesondere sind dies die Sicherheitsaspekte des operativen IT-Betriebs, sowohl bei einem Betrieb im Haus, als auch bei einem IT-Betrieb, der in Teilen oder komplett durch Dritte betrieben wird.
| |
| * Ebenso enthält er die Sicherheitsaspekte, die bei einem IT-Betrieb für Dritte zu beachten sind.
| |
| * Beispiele für die Schicht OPS sind die Bausteine Schutz vor Schadprogrammen und Outsourcing für Kunden.
| |
| * In der Schicht DER finden sich alle Bausteine, die für die Überprüfung der umgesetzten Sicherheitsmaßnahmen, die Detektion von Sicherheitsvorfällen sowie die geeigneten Reaktionen darauf relevant sind.
| |
| * Typische Bausteine der Schicht DER sind Behandlung von Sicherheitsvorfällen und Vorsorge für IT-Forensik.
| |
|
| |
| Neben den Prozess-Bausteinen beinhaltet das IT-Grundschutz-Kompendium auch System-Bausteine.
| |
| * Diese werden in der Regel auf einzelne Zielobjekte oder Gruppen von Zielobjekten angewendet.
| |
| * Die System-Bausteine unterteilen sich in die folgenden Schichten. Ähnlich wie die Prozess-Bausteine können auch die System-Bausteine aus weiteren Teilschichten bestehen.
| |
|
| |
| ; System-Bausteine
| |
| * Die Schicht APP beschäftigt sich mit der Absicherung von Anwendungen und Diensten, unter anderem in den Bereichen Kommunikation, Verzeichnisdienste, netzbasierte Dienste sowie Business- und Client-Anwendungen.
| |
|
| |
| Typische Bausteine der Schicht APP sind Allgemeiner E-Mail-Client und -Server, Office-Produkte, Webserver und Relationale Datenbanken.
| |
| * Die Schicht SYS betrifft die einzelnen IT-Systeme des Informationsverbunds, die gegebenenfalls in Gruppen zusammengefasst wurden.
| |
| * Hier werden die Sicherheitsaspekte von Servern, Desktop-Systemen, Mobile Devices und sonstigen IT-Systemen wie Druckern und TK-Anlagen behandelt.
| |
| * Zur Schicht SYS gehören beispielsweise Bausteine zu konkreten Betriebssystemen, Allgemeine Smartphones und Tablets sowie Drucker, Kopierer und Multifunktionsgeräte.
| |
| * Die Schicht IND befasst sich mit Sicherheitsaspekten industrieller IT.
| |
| * In diese Schicht fallen beispielsweise die Bausteine Prozessleit- und Automatisierungstechnik, Allgemeine ICS-Komponente und Speicherprogrammierbare Steuerung (SPS).
| |
| * Die Schicht NET betrachtet die Vernetzungsaspekte, die sich nicht primär auf bestimmte IT-Systeme, sondern auf die Netzverbindungen und die Kommunikation beziehen.
| |
| * Dazu gehören zum Beispiel die Bausteine NetzManagement, Firewall und WLAN-Betrieb.
| |
| * Die Schicht INF befasst sich mit den baulich-technischen Gegebenheiten, hier werden Aspekte der infrastrukturellen Sicherheit zusammengeführt.
| |
| * Dies betrifft unter anderem die Bausteine Allgemeines Gebäude und Rechenzentrum.
| |
|
| |
| ; Modellierung
| |
| Die Modellierung nach IT-Grundschutz besteht darin, für die Bausteine jeder Schicht zu entscheiden, ob und wie sie zur Abbildung des Informationsverbunds herangezogen werden können.
| |
| * Je nach betrachtetem Baustein kann es sich um unterschiedliche Zielobjekte handeln, beispielsweise um Anwendungen, IT-Systeme, Gruppen von Komponenten, Räume und Gebäude.
| |
| In den einzelnen Bausteinen ist in Kapitel 1.3 „Abgrenzung und Modellierung“ detailliert beschrieben, wann ein Baustein eingesetzt werden soll und auf welche Zielobjekte er anzuwenden ist.
| |
| Bei der Modellierung eines Informationsverbunds nach IT-Grundschutz kann es Zielobjekte geben, die mit den vorliegenden Bausteinen nicht hinreichend abgebildet werden können.
| |
| * In diesem Fall muss eine Risikoanalyse durchgeführt werden, wie sie in der IT-Grundschutz-Methodik beschrieben ist.
| |
| In vielen Teilschichten gibt es allgemeine Bausteine, die grundlegende Aspekte übergreifend für die spezifischen Bausteine beschreiben.
| |
| * Beispielsweise enthält SYS.2.1 Allgemeiner Client Anforderungen für alle Client-Betriebssysteme, die dann für macOS-, Windows- und Unix/Linux-Clients in den entsprechenden Bausteinen konkretisiert und ergänzt werden.
| |
| * Weitere Beispiele sind APP.2.1 Allgemeiner Verzeichnisdienst oder SYS.3.2.1 Allgemeine Smartphones und Tablets.
| |
| * Spezifische Bausteine sind stets in Verbindung mit den allgemeinen Bausteinen anzuwenden.
| |
| * Weiterhin stellen allgemeine Bausteine eine gute Grundlage für die Modellierung und Risikoanalyse dar, wenn für ein konkretes Zielobjekt kein spezifischer Baustein existiert.
| |
| Die nachfolgende Tabelle gibt einen ersten Überblick, auf welche Zielobjekttypen die Bausteine jeweils anzuwenden sind und in welcher Reihenfolge die Umsetzung der Bausteine erfolgen kann (Erläuterung zu R1, R2 und R3 in Kapitel 2.2 Bearbeitungsreihenfolge der Bausteine).
| |
|
| |
| ; Schichtenmodell und Modellierung
| |
| Dabei gibt es Bausteine, die eindeutig zu Zielobjekttypen wie IT-System, Anwendung oder Informationsverbund/übergeordnete Aspekte zuzuordnen sind, d. h. diese Aspekte ausschließlich oder mehrheitlich behandeln.
| |
| * Einige Bausteine, wie z. B. OPS.1.2.4 Telearbeit oder INF.9 Mobiler Arbeitsplatz, lassen sich nicht eindeutig zu Zielobjekttypen zuordnen, da sie verschiedene Aspekte behandeln.
| |
| * Telearbeit behandelt z. B. Aspekte von IT-Systemen, Kommunikationsverbindungen, Informationsfluss, Datensicherung usw.
| |
| * Diese Bausteine haben somit Auswirkungen auf den gesamten Informationsverbund und werden daher dem Zielobjekttyp „Informationsverbund/übergeordnete Aspekte“ zugeordnet.
| |
| Die Zuordnung zu den Zielobjekten ist exemplarisch und dient zur besseren Einordnung und einfacherem Verständnis.
| |
| * In der individuellen Umsetzung von IT-Grundschutz bedeutet z. B. eine Zuordnung eines Bausteins zu „Informationsverbund/übergeordnete Aspekte“ nicht, dass dieser Zielobjekttyp angelegt werden muss.
| |
| * Vielmehr ist damit gemeint, dass der Baustein Auswirkungen auf den gesamten Informationsverbund und damit gegebenenfalls mehrere Zielobjekte haben kann.
| |
|
| |
| Baustein Reihenfolge Anzuwenden auf Zielobjekttyp
| |
| ISMS.1 Sicherheitsmanagement R1 Informationsverbund/übergeordnete Aspekte
| |
| ORP.1 Organisation R1 Informationsverbund/übergeordnete Aspekte
| |
| ORP.2 Personal R1 Informationsverbund/übergeordnete Aspekte
| |
| ORP.3 Sensibilisierung und Schulung zur Infor- R1 Informationsverbund/übergeordnete Aspekte
| |
| mationssicherheit
| |
| ORP.4 Identitäts- und Berechtigungsmanage- R1 Informationsverbund/übergeordnete Aspekte
| |
| ment
| |
| ORP.5 Compliance Management (Anforde- R3 Informationsverbund/übergeordnete Aspekte
| |
| rungsmanagement)
| |
| CON.1 Kryptokonzept R3 Informationsverbund/übergeordnete Aspekte
| |
| CON.2 Datenschutz R2 Informationsverbund/übergeordnete Aspekte
| |
| CON.3 Datensicherungskonzept R1 Informationsverbund/übergeordnete Aspekte
| |
| CON.6 Löschen und Vernichten R1 Informationsverbund/übergeordnete Aspekte
| |
| CON.7 Informationssicherheit auf Auslands- R3 Informationsverbund/übergeordnete Aspekte
| |
| reisen
| |
| CON.8 Software-Entwicklung R3 Informationsverbund/übergeordnete Aspekte
| |
| CON.9 Informationsaustausch R3 Informationsverbund/übergeordnete Aspekte
| |
| CON.10 Entwicklung von Webanwendungen R2 Informationsverbund/übergeordnete Aspekte
| |
| CON.11.1 Geheimschutz VS-NUR FÜR DEN R3 Informationsverbund/übergeordnete Aspekte
| |
| DIENSTGEBRAUCH (VS-NfD)
| |
| OPS.1.1.1 Allgemeiner IT-Betrieb R1 Informationsverbund/übergeordnete Aspekte
| |
| OPS.1.1.2 Ordnungsgemäße IT-Administra- R1 Informationsverbund/übergeordnete Aspekte
| |
| tion
| |
| OPS.1.1.3 Patch- und Änderungsmanage- R1 Informationsverbund/übergeordnete Aspekte
| |
| ment
| |
| OPS.1.1.4 Schutz vor Schadprogrammen R1 Informationsverbund/übergeordnete Aspekte
| |
| OPS.1.1.5 Protokollierung R1 Informationsverbund/übergeordnete Aspekte
| |
| OPS.1.1.6 Software-Tests und -Freigaben R1 Informationsverbund/übergeordnete Aspekte
| |
| OPS.1.1.7 Systemmanagement R2 Informationsverbund/übergeordnete Aspekte
| |
| OPS.1.2.2 Archivierung R3 Informationsverbund/übergeordnete Aspekte
| |
| OPS.1.2.4 Telearbeit R2 Informationsverbund/übergeordnete Aspekte
| |
| OPS.1.2.5 Fernwartung R3 Informationsverbund/übergeordnete Aspekte
| |
| OPS.1.2.6 NTP -Zeitsynchronisation R2 Anwendung
| |
| 3IT-Grundschutz-Kompendium: Stand Februar 2023
| |
| Schichtenmodell und Modellierung
| |
| Baustein Reihenfolge Anzuwenden auf Zielobjekttyp
| |
| OPS.2.2 Cloud-Nutzung R2 Informationsverbund/übergeordnete Aspekte
| |
| OPS.2.3 Nutzung von Outsourcing R2 Informationsverbund/übergeordnete Aspekte
| |
| OPS.3.2 Anbieten von Outsourcing R3 Informationsverbund/übergeordnete Aspekte
| |
| DER.1 Detektion von sicherheitsrelevanten R1 Informationsverbund/übergeordnete Aspekte
| |
| Ereignissen
| |
| DER.2.1 Behandlung von Sicherheitsvorfällen R1 Informationsverbund/übergeordnete Aspekte
| |
| DER.2.2 Vorsorge für die IT-Forensik R3 Informationsverbund/übergeordnete Aspekte
| |
| DER.2.3 Bereinigung weitreichender Sicher- R3 Informationsverbund/übergeordnete Aspekte
| |
| heitsvorfälle
| |
| DER.3.1 Audits und Revisionen R3 Informationsverbund/übergeordnete Aspekte
| |
| DER.3.2 Revisionen auf Basis des Leitfadens R3 Informationsverbund/übergeordnete Aspekte
| |
| IS-Revision
| |
| DER.4 Notfallmanagement R3 Informationsverbund/übergeordnete Aspekte
| |
| APP.1.1 Office-Produkte R2 Anwendung
| |
| APP.1.2 Webbrowser R2 Anwendung
| |
| APP.1.4 Mobile Anwendungen (Apps) R2 Anwendung
| |
| APP.2.1 Allgemeiner Verzeichnisdienst R2 Anwendung
| |
| APP.2.2 Active Directory Domain Services R2 Anwendung
| |
| APP.2.3 OpenLDAP R2 Anwendung
| |
| APP.3.1 Webanwendungen und Webservices R2 Anwendung
| |
| APP.3.2 Webserver R2 Anwendung
| |
| APP.3.3 Fileserver R2 Anwendung
| |
| APP.3.4 Samba R2 Anwendung
| |
| APP.3.6 DNS-Server R2 Anwendung
| |
| APP.4.2 SAP-ERP-System R2 Anwendung
| |
| APP.4.3 Relationale Datenbanken R2 Anwendung
| |
| APP.4.4 Kubernetes R2 Anwendung
| |
| APP.4.6 SAP ABAP-Programmierung R2 Anwendung
| |
| APP.5.2 Microsoft Exchange und Outlook R2 Anwendung
| |
| APP.5.3 Allgemeiner E-Mail-Client und -Server R2 Anwendung
| |
| APP.5.4 Unified Communications und R2 Anwendung
| |
| Collaboration (UCC)
| |
| APP.6 Allgemeine Software R2 Anwendung
| |
| APP.7 Entwicklung von Individualsoftware R3 Informationsverbund/übergeordnete Aspekte
| |
| SYS.1.1 Allgemeiner Server R2 IT-System
| |
| SYS.1.2.2 Windows Server 2012 R2 IT-System
| |
| SYS.1.2.3 Windows Server R2 IT-System
| |
| SYS.1.3 Server unter Linux und Unix R2 IT-System
| |
| SYS.1.5 Virtualisierung R2 IT-System
| |
| SYS.1.6 Containerisierung R2 IT-System
| |
| SYS.1.7 IBM Z R2 IT-System
| |
| SYS.1.8 Speicherlösungen R2 IT-System
| |
| 4 IT-Grundschutz-Kompendium: Stand Februar 2023
| |
| Schichtenmodell und Modellierung
| |
| Baustein Reihenfolge Anzuwenden auf Zielobjekttyp
| |
| SYS.1.9 Terminalserver R2 IT-System
| |
| SYS.2.1 Allgemeiner Client R2 IT-System
| |
| SYS.2.2.3 Clients unter Windows R2 IT-System
| |
| SYS.2.3 Clients unter Linux und Unix R2 IT-System
| |
| SYS.2.4 Clients unter macOS R2 IT-System
| |
| SYS.2.5 Client-Virtualisierung R2 IT-System
| |
| SYS.2.6 Virtual Desktop Infrastructure R2 IT-System
| |
| SYS.3.1 Laptops R2 IT-System
| |
| SYS.3.2.1 Allgemeine Smartphones und R2 IT-System
| |
| Tablets
| |
| SYS.3.2.2 Mobile Device Management R2 Informationsverbund/übergeordnete Aspekte
| |
| (MDM)
| |
| SYS.3.2.3 iOS (for Enterprise) R2 IT-System
| |
| SYS.3.2.4 Android R2 IT-System
| |
| SYS.3.3 Mobiltelefon R2 IT-System
| |
| SYS.4.1 Drucker, Kopierer und Multifunktions- R2 IT-System
| |
| geräte
| |
| SYS.4.3 Eingebettete Systeme R2 IT-System
| |
| SYS.4.4 Allgemeines IoT-Gerät R2 IT-System
| |
| SYS.4.5 Wechseldatenträger R2 IT-System
| |
| NET.1.1 Netzarchitektur und -design R2 Netz
| |
| NET.1.2 Netzmanagement R2 IT-System
| |
| NET.2.1 WLAN-Betrieb R2 Netz
| |
| NET.2.2 WLAN-Nutzung R2 IT-System
| |
| NET.3.1 Router und Switches R2 IT-System
| |
| NET.3.2 Firewall R2 IT-System
| |
| NET.3.3 VPN R2 IT-System
| |
| NET.3.4 Network Access Control R2 IT-System
| |
| NET.4.1 TK-Anlagen R2 IT-System
| |
| NET.4.2 VoIP R2 Netz
| |
| NET.4.3 Faxgeräte und Faxserver R2 IT-System
| |
| IND.1 Prozessleit- und Automatisierungs- R2 Informationsverbund/übergeordnete Aspekte
| |
| technik
| |
| IND.2.1 Allgemeine ICS-Komponente R2 IT-System
| |
| IND.2.2 Speicherprogrammierbare Steuerung R2 IT-System
| |
| (SPS)
| |
| IND.2.3 Sensoren und Aktoren R2 IT-System
| |
| IND.2.4 Maschine R2 IT-System
| |
| IND.2.7 Safety Instrumented Systems R2 IT-System
| |
| IND.3.2 Fernwartung im industriellen Umfeld R2 IT-System
| |
| INF.1 Allgemeines Gebäude R2 Gebäude/Raum
| |
| INF.2 Rechenzentrum sowie Serverraum R2 Gebäude/Raum
| |
| 5IT-Grundschutz-Kompendium: Stand Februar 2023
| |
| Schichtenmodell und Modellierung
| |
| Baustein Reihenfolge Anzuwenden auf Zielobjekttyp
| |
| INF.5 Raum sowie Schrank für technische R2 Gebäude/Raum
| |
| Infrastruktur
| |
| INF.6 Datenträgerarchiv R2 Gebäude/Raum
| |
| INF.7 Büroarbeitsplatz R2 Gebäude/Raum
| |
| INF.8 Häuslicher Arbeitsplatz R2 Gebäude/Raum
| |
| INF.9 Mobiler Arbeitsplatz R2 Informationsverbund/übergeordnete Aspekte
| |
| INF.10 Besprechungs-, Veranstaltungs- und R2 Gebäude/Raum
| |
| Schulungsräume
| |
| INF.11 Allgemeines Fahrzeug R3 Gebäude/Raum
| |
| INF.12 Verkabelung R2 Gebäude/Raum
| |
| INF.13 Technisches Gebäudemanagement R2 Gebäude/Raum
| |
| INF.14 Gebäudeautomatisierung R2 Gebäude/Raum
| |
|
| |
| ; Bearbeitungsreihenfolge der Bausteine
| |
| Um grundlegende Risiken abzudecken und eine ganzheitliche Informationssicherheit aufzubauen, müssen die essenziellen Sicherheitsanforderungen frühzeitig erfüllt und entsprechende Sicherheitsmaßnahmen umgesetzt werden.
| |
| * Daher wird im IT-Grundschutz mit R1, R2 und R3 eine Reihenfolge für die umzusetzenden Bausteine vorgeschlagen (siehe Kapitel 2.1 Modellierung).
| |
| • R1: Diese Bausteine sollten vorrangig umgesetzt werden, da sie die Grundlage für einen effektiven Sicherheitsprozess bilden.
| |
| • R2: Diese Bausteine sollten als nächstes umgesetzt werden, da sie in wesentlichen Teilen des Informationsverbundes für nachhaltige Sicherheit erforderlich sind.
| |
| • R3: Diese Bausteine werden zur Erreichung des angestrebten Sicherheitsniveaus ebenfalls benötigt und müssen umgesetzt werden.
| |
| * Es wird empfohlen, diese erst nach den anderen Bausteinen zu betrachten.
| |
| Diese Kennzeichnung zeigt eine sinnvolle zeitliche Reihenfolge für die Umsetzung der Anforderungen des jeweiligen Bausteins auf und stellt keine Gewichtung der Bausteine untereinander dar.
| |
| * Grundsätzlich müssen alle für den jeweiligen Informationsverbund relevanten Bausteine des IT-Grundschutz-Kompendiums umgesetzt werden.
| |
|
| |
|
| [[Kategorie:IT-Grundschutz/Modellierung]] | | [[Kategorie:IT-Grundschutz/Modellierung]] |
| </noinclude> | | </noinclude> |
IT-Grundschutz-Modellierung - Zuordnung von Grundschutz-Bausteinen zu Zielobjekte
Beschreibung
- IT-Grundschutz-Modell für einen Informationsverbund erstellen
- Sicherheitsanforderungen für Zielobjekte bestimmen
- Abhängigkeiten berücksichtigen
- Entwicklung des Grundschutz-Modells
- Auf Basis des IT-Grundschutz-Kompendiums
- Modellierung
Anwendung der Bausteine IT-Grundschutz-Kompendiums auf die Komponenten eines Informationsverbundes
- IT-Grundschutz-Modell
| Ergebnis |
Beschreibung
|
| Prüfplan |
Bestehende Systeme und Verfahren
|
| Entwicklungskonzept |
Geplante Teile des Informationsverbundes
- Berücksichtigung der Informationssicherheit bei Einführung neuer Elemente
|
Vorarbeiten
Vorgehen
Auswahl Grundschutz-Bausteine
- Festlegung, welche Bausteine anzuwenden sind
Für die Sicherheit des Informationsverbundes
- Ideal
Kein passender Baustein für Zielobjekt
Abgrenzung von Bausteinen
- Nicht jeder Baustein ist relevant
- Beispiele
- Baustein CON.7 Informationssicherheit auf Auslandsreisen
- nur anzuwenden, wenn solche Reisen im Informationsverbund vorkommen
- Technischer Bausteine
- Nur anzuwenden, wenn diese IT-Systemen eingesetzt werden
- z.B. SYS.2.2.2 Clients unter Windows 8.1
- Hinreichende Begründung
- Geben Sie in solchen Fällen eine hinreichende Begründung für die Nichtanwendung eines Bausteins an
- Kurz und aussagekräftig
Prozessorientierte Bausteine
- Technischen Aspekten übergeordnet
- Anwendung
- Wichtige Bausteine
Systemorientierte Bausteine
Anwendung
- Technische Objekte
- Auf jedes System (Gruppe) einmal anwenden, das im Baustein adressiert wird
- Mögliche Objekte
- Anwendungen
- IT-Systeme (z.B. Client, Server oder mobile Geräte)
- Objekte aus dem Bereich der industriellen IT
- Netze
- Infrastrukturobjekte (Räume, Rechenzentrum, Verkabelung)
Mehrere Bausteine
- Meist sind für IT-Systeme mehrere Bausteine anzuwenden
- Alle Sicherheitsanforderungen angemessen berücksichtigen
- Betriebssystemunabhängige Bausteine
Grundsätzliche Sicherheitsanforderungen
- SYS.2.1 Allgemeiner Client
- SYS.1.1 Allgemeiner Server
- Betriebssystemspezifische Bausteine
Anforderungen für einzelne Betriebssysteme
- SYS.2.2.3 Client unter Windows 10
- SYS.1.2.2 Windows Server 2012
- ...
- Beispiel: Webserver
Webserver mit Unix
- SYS.1.1 Allgemeiner Server
- SYS.1.3 Server unter Unix
- APP.3.2 Webserver
Virtuelle Systeme
- Virtuelle Systeme werden modelliert wie physische Systeme
- System
- Betriebssystem
- Anwendungen
- Dienste
- Beispiel
Wird ein Unix-Server als Virtualisierungsserver betrieben, so sind folgende Bausteine anzuwenden
- SYS.1.1 Allgemeiner Server
- SYS.1.3 Server unter Unix und
- SYS.1.5 Virtualisierung
- Physischen Server
Zusätzlich sind für jeden auf diesem physischen Server bereitgestellten virtuellen Server die üblichen Bausteine für Server anzuwenden.
- Bare Metal Server
Für auf spezieller Hardware beruhende Virtualisierungsserver (sogenannte Bare Metal Server) gibt es keinen passenden Grundschutz-Baustein.
- Solche IT-Systeme sind daher für eine Risikoanalyse vorzumerken
Dokumentation
- Beispiel
- In der Spalte Relevanz vermerken Sie, ob Bausteine für den Informationsverbund von Bedeutung sind oder nicht.
- Diese Entscheidung können Sie unter Begründung näher erläutern.
- Baustein nicht relevant
- Hinreichende Begründung unabdingbar!
- Dokumentation der Modellierung
| Baustein |
Zielobjekte |
Relevanz |
Begründung |
Ansprechpartner
|
| APP.5.2 Microsoft Exchange/Outlook |
|
Ja |
|
IT-Betrieb
|
| INF.1 Allgemeines Gebäude |
|
Ja |
|
Haustechnik
|
| INF.2 Rechenzentrum sowie Serverraum |
|
Ja |
|
IT-Betrieb
|
| INF.4 IT-Verkabelung |
Informationsverbund |
Ja |
|
|
| INF.7 Büroarbeitsplatz |
bis |
Ja |
|
|
| INF.8 Häuslicher Arbeitsplatz |
|
Ja |
Die Vertriebsbüros werden wie Home Offices behandelt. |
|
| IND.2.2 Speicherprogrammierbare Steuerung (SPS) |
|
Ja |
|
|
| SYS.1.5 Virtualisierung |
|
Ja |
|
IT-Betrieb
|
| SYS.3.1 Laptops |
bis |
Ja |
|
IT-Betrieb
|
| OPS.3.1 Outsourcing für Dienstleister |
|
Nein |
Solche Dienste werden nicht angeboten. |
|
Siehe auch Modellierung für die RECPLAST
Anforderungen anpassen
- Grundschutz-Bausteine beschreiben Anforderungen
MUSS / SOLLTE
- was zu geschehen ist
- nicht aber, wie dies zu erfolgen hat
- Sicherheitsmaßnahmen
- Für die Ausarbeitung von Sicherheitskonzepten
- wie auch für ein Prüfkonzept
- ist es notwendig
- zu den einzelnen Anforderungen
- Geeignete Sicherheitsmaßnahmen formulieren
- Umsetzungshinweise
- Als Hilfsmittel hierfür gibt es zu den meisten Bausteinen des Grundschutz-Kompendiums Umsetzungshinweise
- Angemessene Maßnahmen
| Bewertung |
Beschreibung
|
| wirksam |
Vor möglichen Gefährdungen schützen und den festgelegten identifizierten Schutzbedarf abdecken
|
| geeignet |
Tatsächlich umsetzbar sein, ohne
- Organisationsabläufe unverhältnismäßig zu behindern
- Andere Sicherheitsmaßnahmen einzuschränken
|
| praktikabel |
Leicht verständlich, einfach anzuwenden und wenig fehleranfällig
|
| akzeptabel |
Barrierefrei, niemanden diskriminieren oder beeinträchtigen
|
| wirtschaftlich |
Eingeführt und betrieben werden können, der mit ihrer Umsetzung verbundene Aufwand also in einem angemessenen Verhältnis zu den zu schützenden Werten steht.
|
Standard-Absicherung
- Vorgehensweise Standard-Absicherung
- Neben verpflichtenden Basis-Anforderungen
- SOLLTEN in der Regel auch alle Standard-Anforderungen eines Bausteins erfüllt werden
- Ausnahmen
In Einzelfällen sind Ausnahmen möglich
- Weil eine Anforderung nicht relevant ist
- Ihre Erfüllung mit der Erfüllung anderer Anforderungen im Widerspruch steht
Dies ist auch bei Basis-Anforderungen möglich
- Abweichungen sollten nachvollziehbar begründet werden
- Aufwand
- Für relevante, aber mit vertretbarem Aufwand nicht erfüllbare Anforderungen sollten Ersatzlösungen gefunden werden
Anhang
Siehe auch
Links
Weblinks