IT-Grundschutz/Informationsverbund: Unterschied zwischen den Versionen

Aus Foxwiki
Keine Bearbeitungszusammenfassung
Zeile 1: Zeile 1:
'''Informationsverbund''' - Ein im [[IT-Grundschutz]] betrachteter Bereich
'''Informationsverbund''' - Ein im [[IT-Grundschutz]] betrachteter Bereich


==== Beschreibung ====
=== Beschreibung ===
; IT-Sicherheitsanalyse und IT-Sicherheitskonzeption
; IT-Sicherheitsanalyse und IT-Sicherheitskonzeption
* Informationstechnik ist durch vernetzte IT-Systeme geprägt
* Informationstechnik ist durch vernetzte IT-Systeme geprägt
Zeile 36: Zeile 36:
|}
|}


==== Festlegung eines Informationsverbundes ====
=== Festlegung eines Informationsverbundes ===
===== Größe =====
==== Größe ====
; Sinnvolle Mindestgröße
; Sinnvolle Mindestgröße
* Für eine umfassende Sicherheit ist die gesamte Institution zu betrachten
* Für eine umfassende Sicherheit ist die gesamte Institution zu betrachten
Zeile 44: Zeile 44:
Insbesondere bei größeren Institutionen und dann, wenn Sicherheitsmaßnahmen bislang eher punktuell und ohne ein zugrunde liegendes systematisches Konzept vorgenommen wurden, ist es allerdings oft praktikabler sich (zunächst) auf '''Teilbereiche''' zu konzentrieren.
Insbesondere bei größeren Institutionen und dann, wenn Sicherheitsmaßnahmen bislang eher punktuell und ohne ein zugrunde liegendes systematisches Konzept vorgenommen wurden, ist es allerdings oft praktikabler sich (zunächst) auf '''Teilbereiche''' zu konzentrieren.


===== Teilbereiche =====
==== Teilbereiche ====
; Gut abgrenzbar
; Gut abgrenzbar
* organisatorischen Strukturen
* organisatorischen Strukturen
Zeile 56: Zeile 56:
; Einzelne Clients, Server oder Netzverbindungen sind als Untersuchungsgegenstand ungeeignet
; Einzelne Clients, Server oder Netzverbindungen sind als Untersuchungsgegenstand ungeeignet


===== Schnittstellen =====
==== Schnittstellen ====
; Bei der Definition des Informationsverbundes müssen Schnittstellen genau beschrieben werden
; Bei der Definition des Informationsverbundes müssen Schnittstellen genau beschrieben werden
* Insbesondere bei der Zusammenarbeit mit externer Partnern.
* Insbesondere bei der Zusammenarbeit mit externer Partnern.


<noinclude>
=== Erstaufnahme des Informationsverbundes ===
=== Erstaufnahme des Informationsverbundes ===
; In der initialen Phase des Sicherheitsprozesses ist es nicht erforderlich, Anwendungen und -Infrastruktur detailliert zu beschreiben.
; In der initialen Phase des Sicherheitsprozesses ist es nicht erforderlich, Anwendungen und -Infrastruktur detailliert zu beschreiben.
Zeile 81: Zeile 80:
* Bereits vor dessen eigentlicher Entwicklung sollten Sie einschätzen, welches Schutzniveau für die verschiedenen Zielobjekte erforderlich ist, die Sie bei der Erstaufnahme identifiziert haben.
* Bereits vor dessen eigentlicher Entwicklung sollten Sie einschätzen, welches Schutzniveau für die verschiedenen Zielobjekte erforderlich ist, die Sie bei der Erstaufnahme identifiziert haben.


 
<noinclude>
==== Anhang ====
==== Anhang ====
===== Siehe auch =====
===== Siehe auch =====

Version vom 8. November 2023, 19:31 Uhr

Informationsverbund - Ein im IT-Grundschutz betrachteter Bereich

Beschreibung

IT-Sicherheitsanalyse und IT-Sicherheitskonzeption
  • Informationstechnik ist durch vernetzte IT-Systeme geprägt
Gesamte IT betrachten
  • Nicht einzelne IT-Systeme
Teile und Herrsche

Um diese Aufgabe bewältigen zu können, ist es sinnvoll

  • IT-Struktur in logisch getrennte Teile zerlegen
  • Jeweils einen Teil (Informationsverbund) getrennt betrachten
Ein Informationsverbund kann dabei
  • als Ausprägung die gesamte IT einer Institution oder auch
  • einzelne Bereiche

umfassen

  • durch organisatorische Strukturen (z. B. Abteilungsnetz) oder gemeinsame IT-Anwendungen (z. B. Personalinformationssystem) gegliedert sind.
Struktur

Voraussetzung für die Anwendung des IT-Grundschutz-Kompendiums auf einen Informationsverbund sind detaillierte Informationen über seine Struktur (IT-Strukturanalyse)

Komponenten
Komponente Beschreibung
Infrastruktur
Organisation
Personen
Technik

Festlegung eines Informationsverbundes

Größe

Sinnvolle Mindestgröße
  • Für eine umfassende Sicherheit ist die gesamte Institution zu betrachten
Größeren Institutionen

Insbesondere bei größeren Institutionen und dann, wenn Sicherheitsmaßnahmen bislang eher punktuell und ohne ein zugrunde liegendes systematisches Konzept vorgenommen wurden, ist es allerdings oft praktikabler sich (zunächst) auf Teilbereiche zu konzentrieren.

Teilbereiche

Gut abgrenzbar
  • organisatorischen Strukturen
  • Anwendungen
  • Wesentliche Aufgaben und Geschäftsprozesse der Institution umfassen
Sinnvolle Teilbereiche
  • Organisationseinheiten
  • Geschäftsprozesse/Fachaufgaben
Einzelne Clients, Server oder Netzverbindungen sind als Untersuchungsgegenstand ungeeignet

Schnittstellen

Bei der Definition des Informationsverbundes müssen Schnittstellen genau beschrieben werden
  • Insbesondere bei der Zusammenarbeit mit externer Partnern.

Erstaufnahme des Informationsverbundes

In der initialen Phase des Sicherheitsprozesses ist es nicht erforderlich, Anwendungen und -Infrastruktur detailliert zu beschreiben.
  • Zunächst geht es vielmehr darum, besonders wichtige Geschäftsprozesse, die im Geltungsbereich des Konzepts angesiedelt sind, hinsichtlich ihrer Anforderungen an die Informationssicherheit zu charakterisieren.
  • Dabei reicht es zu wissen, welche Prozesse sehr hohe, hohe oder lediglich normale Schutzanforderungen haben.
Erstaufnahme des Informationsverbundes

Auf dieser Basis wird dann eine Erstaufnahme des Informationsverbundes angefertigt

Folgende Informationen und Detailangaben müssen dabei strukturiert ( tabellarisch) zusammengetragen werden
  • Geschäftsprozesse im Informationsverbund (Name, Beschreibung, fachverantwortliche Stelle),
  • Anwendungen in diesen Prozessen (Name und Beschreibungen),
  • -Systeme und -Komponenten (Name, Systemplattform und eventuell Aufstellungsort),
  • für den Informationsverbund wichtige Räume wie Rechenzentrum oder Serverräume (Art, Raumnummer und Gebäude) sowie
  • virtuelle Systeme (entsprechend gekennzeichnet und benannt).

Ein grafischer Netzplan ist eine hilfreiche Ergänzung zur tabellarischen Zusammenstellung der -Systeme

Die ermittelten Komponenten, wie auch der Informationsverbund als Ganzes, sind Zielobjekte des Sicherheitskonzepts
  • Bereits vor dessen eigentlicher Entwicklung sollten Sie einschätzen, welches Schutzniveau für die verschiedenen Zielobjekte erforderlich ist, die Sie bei der Erstaufnahme identifiziert haben.


Anhang

Siehe auch
Links
Weblinks