IT-Grundschutz/Strukturanalyse/tmp: Unterschied zwischen den Versionen
Die Seite wurde neu angelegt: „Die Strukturanalyse ist eine systematische Untersuchung der vorhandenen IT-Infrastruktur. In der Strukturanalyse werden alle für den Informationsverbund relevanten Geschäftsprozesse, Infrastrukturen und IT-Systeme identifiziert und beschrieben. Sie ist damit das übergreifende Rahmendokument des Sicherheitskonzepts für den Informationsverbund. == Geltungsbereich == Diese Strukturanalyse gilt für den im Titel genannten und im Folgenden beschriebenen u…“ |
K Dirkwagner verschob die Seite Grundschutz/Strukturanalyse/tmp nach IT-Grundschutz/Strukturanalyse/tmp: Textersetzung - „^Grundschutz“ durch „IT-Grundschutz“ |
(kein Unterschied)
| |
Aktuelle Version vom 24. Oktober 2024, 10:59 Uhr
Die Strukturanalyse ist eine systematische Untersuchung der vorhandenen IT-Infrastruktur. In der Strukturanalyse werden alle für den Informationsverbund relevanten Geschäftsprozesse, Infrastrukturen und IT-Systeme identifiziert und beschrieben. Sie ist damit das übergreifende Rahmendokument des Sicherheitskonzepts für den Informationsverbund.
Geltungsbereich
Diese Strukturanalyse gilt für den im Titel genannten und im Folgenden beschriebenen und abgegrenzten Informationsverbund der Organisation.
Die beschriebenen Regelungen sind für alle Mitarbeitenden, die im Rahmen des definierten Informationsverbundes tätig sind, verbindlich.
Allgemeines
Beschreibung der Organisation und ihrer Ziele, des Geschäftsverteilungsplans.
Beschreibung der Organisation
Beschreibung der Organisation und ihrer Standorte im Allgemeinen
Rechtliche Rahmenbedingungen
Mögliche rechtliche Rahmenbedingungen sind im Artikel Rechtsgrundlagen aufgelistet.
Geschäftsfeld
Beschreibung des Tätigkeitsbereichs der Organisation (Was macht die Organisation wo ist ihr Kerngeschäft?)
Organisationsplan
Dastellung des Geschäftsverteilungsplans der Organisation (Organigramm)
Beschreibung des Informationsverbunds
Im folgenden wird der Informationsverbund und seine Abgrenzung innerhalb der Organisation beschrieben:
Beschreibung des Informationsverbunds
Kurze Beschreibung des Informationsverbunds, was macht den Informationsverbund aus, welchen Zweck er erfüllt, welche Anwendungen er bedient, welche Nutzergruppen er bedient ...
Eingliederung des Informationsverbunds
Darstellung des Informationsverbunds innerhalb der Organisation (Organisationsübergreifender Verbund oder in welcher Abteilung innerhalb der Organisation).
Geschäftsprozesse
Ein Geschäftsprozess ist eine systematische Abfolge von Aktivitäten, um ein bestimmtes Geschäftsziel zu erreichen. Die relevanten Geschäftsprozesse des Informationsverbunds sind im folgenden aufgeführt:
Kernprozesse
Kernprozesse sind die zentralen Prozesse der Organisation, die direkt zur Wertschöpfung beitragen und damit essentiell für das Kerngeschäft sind. Sie stellen die Haupttätigkeiten dar, die die Organisation ausführen muss, um seine Produkte oder Dienstleistungen zu erstellen oder bereitzustellen.
| Kürzel | Prozessname | Beschreibung | Verantwortlich |
|---|---|---|---|
| KP-1 | Beispiel | Beispiel | Beispiel |
| KP-2 | Beispiel | Beispiel | Beispiel |
Hilfsprozesse
Hilfsprozesse, oder auch Supportprozesse genannt, sind Prozesse, die nicht direkt zur Wertschöpfung beitragen, sondern die Organisation in seiner Tätigkeit unterstützen und optimieren sollen. Sie stellen damit eine indirekte Unterstützung des Kerngeschäfts dar.
| Kürzel | Prozessname | Beschreibung | Verantwortlich |
|---|---|---|---|
| HP-1 | Beispiel | Beispiel | Beispiel |
Schutzbedarf
Eine angemessene Bestimmung des Schutzbedarfs ist wichtig, um die Ressourcen der Organisation effektiv zu nutzen und sicherzustellen, dass die Schutzmaßnahmen den Bedrohungen und Risiken angemessen sind. Der folgende Schutzbedarf wurde im Rahmen einer Schutzbedarfsfeststellung (siehe Anlage A2) für die genannten Geschäftsprozesse ermittelt:
| Prozess | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|
| KP-1 | normal | normal | normal |
| KP-2 | hoch | normal | normal |
| HP-1 | normal | normal | hoch |
Bestandteile des Informationsverbund
Beschreibung der Bestandteile des Informationsverbunds. Welche Organisationseinheiten, Anwendungen, Server, Clients, Netzbereiche der Organisation werden in diesem Informationsverbund betrachtet?
Die folgenden Komponenten sind für die Erfüllung der betrachteten Geschäftsprozesse wesentlich und somit Bestandteil und Betrachtungsgegenstand dieses Informationsverbundes:
- Das ISMS der Organisation
- ...
- ...
- Zu diesem Informationsverbund gehören nur Produktivsysteme und IT-Systeme, die einen direkten Einfluss auf die Informationssicherheit der Produktivsysteme haben.
Alle Komponenten des Informationsverbunds sind in den Komponentenlisten der Anlage A1 aufgeführt.
Abgrenzung des Informationsverbund
Beschreibung der Grenzen des Informationsverbunds und der außerhalb des Verbunds liegenden Teile.Zum Beispiel:
- Entwicklungs-, Test- und Freigabesysteme (Komponenten, die ausschließlich der Entwicklung, dem Test und der Freigabe dienen, werden abgegrenzt)
- Client-Systeme der Benutzer (alle nicht-administrativen Client-Systeme werden über einen Frontend-Server abgegrenzt)
- Netzinfrastruktur außerhalb der Organisation (alle Netze außerhalb des Informationsverbundes (Internet, Fremdnetze, Bürokommunikationsnetze) sind über ein Security-Gateway abgegrenzt)
- Gebäudeinfrastruktur für extern betriebenes Rechenzentrum (Das Rechenzentrum des Dienstleisters, in dem der Informationsverbund betrieben wird, ist selbst nach BSI IT-Grundschutz zertifiziert, der Schutzbedarf entspricht dem des Informationsverbundes. Damit ist der Rechenzentrumsbetrieb abgegrenzt)
- Reine Bürokommunikationssysteme wie Telefonie, Drucker, Smartphones und Tablets sind abgegrenzt.
- ...
Für abgegrenzte Bereiche muss die Grenze zum Informationsverbund und ggf. der Übergang sowie desssen Absicherung beschrieben sein.
Werden elemetare Bestandteile des Informationsverbunds (z.B. ein angemietetes externes Rechenzentrum) abgegrenzt, muss beschrieben sein, wie sichergestellt wird, dass diese Teile gleichermaßem dem festgestellten Schutzbedarf des Informationsverbunds entsprechen (z.B. in Form einer eigenen Zertifizierung, vertraglicher Regelungen und eigener Audits dieser Teile.).
Aufbau des ISMS
Die Organisation betreibt ihr Informationssicherheits-Managementsystem (ISMS) gemäß BSI-Standard 200-1.
Kurze Beschreibung der Struktur und Organisation des ISMS (Ziele des ISMS, Organigramm des Sicherheitsmanagements).
Vorgehensweise
Für den vorliegenden Informationsverbund wird die Standardabsicherung (alternativ: Basisabsicherung oder Kernabsicherung) nach BSI-Standard 200-2 angewendet.
Verantwortliche
Organisationsleitung
Die Leitung der Organisation trägt die Gesamtverantwortung für die Informationssicherheit der Organisation und hat klare Ziele für die Informationssicherheit definiert. Diese Leitlinien bilden die Grundlage für alle Maßnahmen im Informationsverbund. Die übergreifenden Aufgaben der Leitung bestehen im Wesentlichen darin:
- Festlegung von messbaren Sicherheitszielen
- Verantwortlichkeiten zu delegieren
- Ressourcen bereitzustellen
- Sicherheitskultur in der Organisation zu fördern
- Bewertung der Risiken für die Organisation
- Compliance und Rechenschaftspflicht erfüllen
- Überwachung und Bewertung der Zielerreichung
Informationssicherheitsbeauftragter
Die Organisation hat einen Informationssicherheitsbeauftragten (ISB) ernannt.
Der Informationssicherheitsbeauftragte ist für den Aufbau und die Koordination des ISMS verantwortlich und untersteht als Stabsstelle direkt der Organisationsleitung.
Seine Aufgaben sind u.a.:
- Berichterstattung und Beratung der Leitung zu Belangen der Informationssicherheit
- Koordination der Schulungen und Sensibilisierung der Mitarbeitenden zur Informationssicherheit
- Entwicklung und Fortschreibung der Sicherheitskonzeption der Organisation
- Begleitung und Auswertung von Sicherheitsvorfällen
- Begleitung der Einführung neuer Verfahren und Anwendungen
Der ISB verfügt über die zur Erfüllung seiner Aufgaben notwendigen Kenntnisse und Ressourcen.
Datenschutzbeauftragter
Die Organisation hat einen Datenschutzbeauftragten (DSB) bestellt. Der DSB ist in die Entwicklung des Informationsverbundes eingebunden und bearbeitet alle Fragen des Datenschutzes in einem eigenen DSMS.
weitere Verantwortliche
Ggf. weitere Verantwortlich und ihre Rollen für die Informationssicherheit im Informationsverbund.
Übergreifendes Regelwerk
Das relevante organisatorische Regelwerk der Organisation ist in Anlage A0 enthalten. Die grundlegensten Richtlinien sind hier kurz zusammengefasst:
Leitlinie zur Informationssicherheit
Die Informationssicherheits-Leitlinie gewährleistet die Vertraulichkeit, Integrität und Verfügbarkeit der Informationen. Sie basiert auf den BSI-Standards 200.x und regelt Verantwortlichkeiten, übergreifende Maßnahmen, den Umgang mit Sicherheitsvorfälle und die Förderung von Sicherheitsbewusstsein. (siehe Anlage A0.1)
Richtlinie zur Risikoanalyse
Die Richtlinie zur Risikoanalyse definiert den Prozess zur Identifizierung, Bewertung und Bewältigung von Risiken in der Organisation. Sie legt die Methoden, Werkzeuge und Verantwortlichkeiten fest, um potenzielle Bedrohungen zu erkennen, ihre Auswirkungen zu bewerten und angemessene Gegenmaßnahmen zu entwickeln. Das Ziel dieser Richtlinie ist es, die Risiken zu minimieren, die Sicherheit zu stärken und die Resilienz der Organisation gegenüber möglichen Gefahren zu verbessern. (siehe Anlage A0.2)
Richtlinie zur Lenkung von Dokumenten und Aufzeichnungen
Die Richtlinie zur Lenkung von Dokumenten regelt die Verfahren und Zuständigkeiten für die Erstellung, Überprüfung, Freigabe und Archivierung von Dokumenten, um die Konsistenz, Aktualität und Compliance der Dokumente und Aufzeichnungen sicherzustellen. (siehe Anlage A0.3)
Richtlinie zur internen ISMS-Auditierung
Die Richtlinie zur internen ISMS-Auditierung legt die Verfahren und Richtlinien fest, um regelmäßige interne Audits des Informationssicherheitsmanagementsystems (ISMS) durchzuführen. Sie beschreibt den Prozess, wie die Überprüfung der ISMS-Konformität, Effektivität und Effizienz erfolgt, um sicherzustellen, dass die Sicherheitsziele erreicht und die Anforderungen erfüllt werden. Das Ziel der internen ISMS-Auditierung ist es, potenzielle Schwachstellen und Verbesserungsmöglichkeiten zu identifizieren, um eine kontinuierliche Weiterentwicklung und Anpassung des ISMS zu gewährleisten und so die Informationssicherheit im Unternehmen zu stärken. (siehe Anlage A0.4)
Richtlinie zur Lenkung von Korrektur- und Vorbeugungsmaßnahmen
Die Richtlinie zur Lenkung von Korrektur- und Vorbeugungsmaßnahmen definiert den Prozess zur systematischen Identifizierung, Bewertung und Umsetzung von Maßnahmen, um erkannte Probleme zu korrigieren und zukünftige Vorfälle zu verhindern. Sie legt fest, wie Abweichungen, Sicherheitsvorfälle oder Verbesserungspotenziale erfasst, analysiert und behoben werden. Das Ziel dieser Richtlinie ist es, die Effizienz und Qualität im Unternehmen zu steigern, Risiken zu minimieren und die kontinuierliche Verbesserung im Hinblick auf Sicherheit und Prozesse zu fördern. (siehe Anlage A0.5)
Zulieferer / Dienstleister
Für spezielle Aufgaben innerhalb des Informationsverbunds, die nicht oder nicht angemessen durch die Organisation selbst erbracht werden können, bedient sich die Organisation externer Zulieferer und Dienstleister. Die folgende Tabelle listet die externen Dienstleister und die von ihnen erbrachten Leistungen auf:
| Kürzel | Name | Firma / Anschrift | Beschreibung der Dienstleistung | Vertrag/SLA | Verantwortlich |
|---|---|---|---|---|---|
| DL-1 | Teledings | Kabelweg 712345 Web | Bereitstellung des Internetzugangs der Organisation | Vertragsnummer 0815 vom 1.2.2001 | RZ-Leitung |
Standorte
In der Organisation wird grundsätzlich der Ansatz des hybriden arbeitens verfolgt. Zentrale Komponenten werden in den jeweiligen Rechenzentren oder Technikräumen betrieben. Mitarbeitende können wahlweise im Büro, zu Hause oder mobil arbeiten. Büroräume werden nur insoweit betrachtet, als dort besondere administrative Tätigkeiten wie die Konfiguration von Hardware oder die Entwicklung von Strategien, Anwendungen oder Konfigurationen stattfinden, die aufgrund der dort vorhandenen Hardwarekomponenten oder Ausdrucke und sonstigen Unterlagen eines besonderen Schutzes bedürfen. Ansonsten werden alle anderen Büroräume und Arbeitsplätze als mobiles Arbeiten betrachtet und hier nicht gesondert aufgeführt.
Standorte der Organisation
| Kürzel | Bezeichnung | Adresse | Verantwortlich |
|---|---|---|---|
| G-1 | Hauptgebäude | ||
| G-2 | Nebengebäude | ||
Rechenzentren und zentrale Technikräume
| Kürzel | Bezeichnung | Adresse | Art | Verantwortlich |
|---|---|---|---|---|
| RZ-1 | Rechenzentrum am Hauptstandort G-1 | Rechenzentrum | N.N. | |
| TR-1 | Raum für Technische Infrastruktur im Nebengebäude G-2 | Technikraum | N.N. | |
Büros
| Kürzel | Bezeichnung | Beschreibung | Verantwortlich |
|---|---|---|---|
| BR-1 | Allgemeines Büro | Alle Standorte sowie ggf. Coworking Spaces der Organisation | N.N. |
| BR-2 | Admin Büro | Büros für Admins im RZ-1 mit direkter Anbindung an das Admin-Netz. | N.N. |
| BR-3 | Rollout Büro | Büro für Rollout-Team zur Konfiguration von Netzwerk-Komponenten und Clients. | N.N. |
Mobiles Arbeiten
In der Organisation wird grundsätzlich der Ansatz des hybriden Arbeitens verfolgt. Alle betroffenen mobilen Clients werden unter dem Kürzel "MA" und der Bezeichnung "Mobiler Arbeitsplatz" zusammengefasst, diese sind keinem festen Standort zugeordnet. Mobiles Arbeiten kann sowohl in einem freien Büroraum am Standort, in Coworking Spaces, im Homeoffice des Mitarbeitenden, an einem beliebigen anderen Arbeitsplatz oder unterwegs erfolgen, sofern dies den Regelungen der Organisation zum mobilen Arbeiten entspricht.
Infrastruktur
Netzplan
Hier den bereinigten (reduzierten) Netzplan kurz beschreiben und als Abbildung (ggf. nur Übersicht) einfügen oder auf Anlagen verweisen.
Komponentenlisten
Alle Komponenten des Informationsverbunds sind in den Komponentenlisten der Anlage A1 aufgeführt.
Gruppierung
Die in den Komponentenlisten enthaltenden Komponenten wurden zu Zielobjekten gruppiert.
Dabei wurden Komponenten zusammengefasst, die
- vom gleichen Typ sind,
- gleich oder nahezu gleich konfiguriert sind,
- gleich oder nahezu gleich in das Netz eingebunden sind,
- gleich oder nahezu gleich administriert werden,
- die gleichen Prozesse oder Anwendungen bedienen und
- den gleichen Schutzbedarf aufweisen.
Die Gruppierung ist anhand der Zuordnung der Zielobjekte in den Komponentenlisten (siehe Anlage A1) ersichtlich.
Modellierung
Systembausteine
Verweis auf Modellierungsdokumentation im ISMS-Tool bzw. anderer Quellen.
Die Modellierung der Systembausteine ist in den Modellierungsreports in der Anlage A3 dokumentiert.
Benutzerdefinierste Bausteine
Beschreibung benutzerdefinierter Bausteine falls vorhanden und modelliert.
ansonsten:
Die Infrastruktur der Organisation ist vollständig mit den Bausteinen des verwendeten Grundschutz Kompendium modellierbar.
Es werden keine benutzerdefinierten Bausteine genutzt.
Abhängigkeiten
Darstellung der Abhängigkeiten der Prozesse von den Anwendungen, der Anwendungen von den IT-Systemen und den Netzwerkkomponenten.
Die Abhängigkeiten der Zielobjekte sind im Bericht in Anlage A2.3 dargestellt.
Risikoanalyse
Für den Informationsverbund wurde eine Risikoanalyse aufgrund (nichtzutreffendes streichen)
- des erhöhten Schutzbedarf für die Prozesse (Liste der Prozesskürzel)
- der besonderen Anwendungsszenarien (Beschreibung)
- der eingeschränkten Modellierbarkeit der Komponenten (Auflistung)
- von nicht oder nur teilweise umgesetzter Anforderungen
durchgeführt. Die Risikoanalysen sind in der Anlage A5 dokumentiert.
oder
Aufgrund des normalen Schutzbedarfs und keiner besonderen Anwendungszenarien, sowie der vollständigen Modellierbarkeit aller Komponenten wurde keine Risikoanalyse durchgeführt.
Anlagen
| Anlage | Titel | Quelle |
|---|---|---|
| A0 | Regelwerk der Organisation | |
| A0.1 | Leitlinie zur Informationssicherheit | Informationssicherheitsleitlinie |
| A0.2 | Richtlinie zur Risikoanalyse | RiLi-Risikoanalyse |
| A0.3 | Richtlinie zur Lenkung von Dokumenten | RiLi-Dokumentenlenkung |
| A0.4 | Richtlinie zur internen ISMS Auditierung | RiLi-InterneAuditierung |
| A0.5 | Richtlinie zur Lenkung von Korrektur- und Vorbeugungsmaßnahmen | RiLi-KVP |
| A1 | Strukturanalyse | |
| A1.2 | Bereinigter Netzplan | |
| A1.3 | Liste der Geschäftsprozesse (soweit im Dokument nicht vollständig aufgelistet) | |
| A1.4 | Liste der IT-Anwendungen | |
| A1.5 | Liste der IT-Systeme | |
| A1.6 | Liste der Räume, Gebäude und Standorte (soweit im Dokument nicht vollständig aufgelistet) | |
| A1.7 | Liste der Kommunikationsverbindungen | |
| A1.8 | Liste der Dienstleister (soweit im Dokument nicht vollständig aufgelistet) | |
| A2 | Schutzbedarfsfeststellung | |
| A2.1 | Definition der Schutzbedarfskategorien | |
| A2.2 | Schutzbedarfsfeststellung | |
| A2.3 | Vererbung des Schutzbedarfs | |
| A3 | Modellierung des Informationsverbund | |
| A4 | Ergebnis des Grundschutz-Checks | |
| A5 | Risikoanalyse | |
| A6 | Realisierungsplan/Risikobehandlung |