Diskussion:IT-Grundschutz/Modellierung

Aus Foxwiki

TMP

Bei der Umsetzung von IT-Grundschutz muss der betrachtete Informationsverbund mit Hilfe der vorhandenen Bausteine nachgebildet werden, es müssen also die relevanten Sicherheitsanforderungen aus dem IT-GrundschutzKompendium zusammengetragen werden.

  • Dafür müssen alle Prozesse, Anwendungen und IT-Systeme erfasst sein, beziehungsweise die Strukturanalyse und in der Regel eine Schutzbedarfsfeststellung vorliegen.
  • Darauf aufbauend wird ein IT-Grundschutz-Modell des Informationsverbunds erstellt, das aus verschiedenen, gegebenenfalls auch mehrfach verwendeten IT-Grundschutz-Bausteinen besteht und eine Abbildung zwischen den Bausteinen und den sicherheitsrelevanten Aspekten des Informationsverbunds beinhaltet.

Das erstellte IT-Grundschutz-Modell ist unabhängig davon, ob der Informationsverbund aus bereits im Einsatz befindlichen IT-Systemen besteht oder ob es sich um einen Informationsverbund handelt, der sich erst im Planungsstadium befindet.

  • Das Modell kann daher unterschiedlich verwendet werden:
  • Das IT-Grundschutz-Modell eines bereits realisierten Informationsverbunds identifiziert über die verwendeten

Bausteine die relevanten Sicherheitsanforderungen.

  • Es kann in Form eines Prüfplans benutzt werden, um einen

Soll-Ist-Vergleich durchzuführen.

  • Das IT-Grundschutz-Modell eines geplanten Informationsverbunds stellt hingegen ein Entwicklungskonzept dar.

Es beschreibt über die ausgewählten Bausteine, welche Sicherheitsanforderungen bei der Realisierung des Informationsverbunds erfüllt werden müssen. Typischerweise wird ein im Einsatz befindlicher Informationsverbund sowohl bereits realisierte als auch in Planung befindliche Anteile umfassen.

  • Das resultierende IT-Grundschutz-Modell beinhaltet dann sowohl einen Prüfplan wie auch Anteile eines Entwicklungskonzepts.
  • Alle im Prüfplan bzw.
  • im Entwicklungskonzept vorgesehenen Sicherheitsanforderungen bilden gemeinsam die Basis für die Erstellung des Sicherheitskonzeptes.

Um einen im Allgemeinen komplexen Informationsverbund nach IT-Grundschutz zu modellieren, müssen die passenden Bausteine des IT-Grundschutz-Kompendiums ausgewählt und umgesetzt werden.

  • Um diese Auswahl zu erleichtern, sind die Bausteine im IT-Grundschutz-Kompendium zunächst in Prozess- und System-Bausteine aufgeteilt und diese jeweils in einzelne Schichten untergliedert:
Prozess-Bausteine

Die Prozess-Bausteine, die in der Regel für sämtliche oder große Teile eines Informationsverbunds gleichermaßen gelten, unterteilen sich in die folgenden Schichten, die wiederum aus weiteren Teilschichten bestehen können.

  • Die Schicht ISMS enthält als Grundlage für alle weiteren Aktivitäten im Sicherheitsprozess den Baustein Sicherheitsmanagement.
  • Die Schicht ORP befasst sich mit organisatorischen und personellen Sicherheitsaspekten.
  • In diese Schicht fallen beispielsweise die Bausteine Organisation und Personal.
  • Die Schicht CON enthält Bausteine, die sich mit Konzepten und Vorgehensweisen befassen.
  • Typische Bausteine der Schicht CON sind unter anderem Kryptokonzept und Datenschutz.
  • Die Schicht OPS umfasst alle Sicherheitsaspekte betrieblicher Art.
  • Insbesondere sind dies die Sicherheitsaspekte des operativen IT-Betriebs, sowohl bei einem Betrieb im Haus, als auch bei einem IT-Betrieb, der in Teilen oder komplett durch Dritte betrieben wird.
  • Ebenso enthält er die Sicherheitsaspekte, die bei einem IT-Betrieb für Dritte zu beachten sind.
  • Beispiele für die Schicht OPS sind die Bausteine Schutz vor Schadprogrammen und Outsourcing für Kunden.
  • In der Schicht DER finden sich alle Bausteine, die für die Überprüfung der umgesetzten Sicherheitsmaßnahmen, die Detektion von Sicherheitsvorfällen sowie die geeigneten Reaktionen darauf relevant sind.
  • Typische Bausteine der Schicht DER sind Behandlung von Sicherheitsvorfällen und Vorsorge für IT-Forensik.

Neben den Prozess-Bausteinen beinhaltet das IT-Grundschutz-Kompendium auch System-Bausteine.

  • Diese werden in der Regel auf einzelne Zielobjekte oder Gruppen von Zielobjekten angewendet.
  • Die System-Bausteine unterteilen sich in die folgenden Schichten. Ähnlich wie die Prozess-Bausteine können auch die System-Bausteine aus weiteren Teilschichten bestehen.
System-Bausteine
  • Die Schicht APP beschäftigt sich mit der Absicherung von Anwendungen und Diensten, unter anderem in den Bereichen Kommunikation, Verzeichnisdienste, netzbasierte Dienste sowie Business- und Client-Anwendungen.

Typische Bausteine der Schicht APP sind Allgemeiner E-Mail-Client und -Server, Office-Produkte, Webserver und Relationale Datenbanken.

  • Die Schicht SYS betrifft die einzelnen IT-Systeme des Informationsverbunds, die gegebenenfalls in Gruppen zusammengefasst wurden.
  • Hier werden die Sicherheitsaspekte von Servern, Desktop-Systemen, Mobile Devices und sonstigen IT-Systemen wie Druckern und TK-Anlagen behandelt.
  • Zur Schicht SYS gehören beispielsweise Bausteine zu konkreten Betriebssystemen, Allgemeine Smartphones und Tablets sowie Drucker, Kopierer und Multifunktionsgeräte.
  • Die Schicht IND befasst sich mit Sicherheitsaspekten industrieller IT.
  • In diese Schicht fallen beispielsweise die Bausteine Prozessleit- und Automatisierungstechnik, Allgemeine ICS-Komponente und Speicherprogrammierbare Steuerung (SPS).
  • Die Schicht NET betrachtet die Vernetzungsaspekte, die sich nicht primär auf bestimmte IT-Systeme, sondern auf die Netzverbindungen und die Kommunikation beziehen.
  • Dazu gehören zum Beispiel die Bausteine NetzManagement, Firewall und WLAN-Betrieb.
  • Die Schicht INF befasst sich mit den baulich-technischen Gegebenheiten, hier werden Aspekte der infrastrukturellen Sicherheit zusammengeführt.
  • Dies betrifft unter anderem die Bausteine Allgemeines Gebäude und Rechenzentrum.
Modellierung

Die Modellierung nach IT-Grundschutz besteht darin, für die Bausteine jeder Schicht zu entscheiden, ob und wie sie zur Abbildung des Informationsverbunds herangezogen werden können.

  • Je nach betrachtetem Baustein kann es sich um unterschiedliche Zielobjekte handeln, beispielsweise um Anwendungen, IT-Systeme, Gruppen von Komponenten, Räume und Gebäude.

In den einzelnen Bausteinen ist in Kapitel 1.3 „Abgrenzung und Modellierung“ detailliert beschrieben, wann ein Baustein eingesetzt werden soll und auf welche Zielobjekte er anzuwenden ist. Bei der Modellierung eines Informationsverbunds nach IT-Grundschutz kann es Zielobjekte geben, die mit den vorliegenden Bausteinen nicht hinreichend abgebildet werden können.

  • In diesem Fall muss eine Risikoanalyse durchgeführt werden, wie sie in der IT-Grundschutz-Methodik beschrieben ist.

In vielen Teilschichten gibt es allgemeine Bausteine, die grundlegende Aspekte übergreifend für die spezifischen Bausteine beschreiben.

  • Beispielsweise enthält SYS.2.1 Allgemeiner Client Anforderungen für alle Client-Betriebssysteme, die dann für macOS-, Windows- und Unix/Linux-Clients in den entsprechenden Bausteinen konkretisiert und ergänzt werden.
  • Weitere Beispiele sind APP.2.1 Allgemeiner Verzeichnisdienst oder SYS.3.2.1 Allgemeine Smartphones und Tablets.
  • Spezifische Bausteine sind stets in Verbindung mit den allgemeinen Bausteinen anzuwenden.
  • Weiterhin stellen allgemeine Bausteine eine gute Grundlage für die Modellierung und Risikoanalyse dar, wenn für ein konkretes Zielobjekt kein spezifischer Baustein existiert.

Die nachfolgende Tabelle gibt einen ersten Überblick, auf welche Zielobjekttypen die Bausteine jeweils anzuwenden sind und in welcher Reihenfolge die Umsetzung der Bausteine erfolgen kann (Erläuterung zu R1, R2 und R3 in Kapitel 2.2 Bearbeitungsreihenfolge der Bausteine).

Schichtenmodell und Modellierung

Dabei gibt es Bausteine, die eindeutig zu Zielobjekttypen wie IT-System, Anwendung oder Informationsverbund/übergeordnete Aspekte zuzuordnen sind, d. h. diese Aspekte ausschließlich oder mehrheitlich behandeln.

  • Einige Bausteine, wie z. B. OPS.1.2.4 Telearbeit oder INF.9 Mobiler Arbeitsplatz, lassen sich nicht eindeutig zu Zielobjekttypen zuordnen, da sie verschiedene Aspekte behandeln.
  • Telearbeit behandelt z. B. Aspekte von IT-Systemen, Kommunikationsverbindungen, Informationsfluss, Datensicherung usw.
  • Diese Bausteine haben somit Auswirkungen auf den gesamten Informationsverbund und werden daher dem Zielobjekttyp „Informationsverbund/übergeordnete Aspekte“ zugeordnet.

Die Zuordnung zu den Zielobjekten ist exemplarisch und dient zur besseren Einordnung und einfacherem Verständnis.

  • In der individuellen Umsetzung von IT-Grundschutz bedeutet z. B. eine Zuordnung eines Bausteins zu „Informationsverbund/übergeordnete Aspekte“ nicht, dass dieser Zielobjekttyp angelegt werden muss.
  • Vielmehr ist damit gemeint, dass der Baustein Auswirkungen auf den gesamten Informationsverbund und damit gegebenenfalls mehrere Zielobjekte haben kann.

Baustein Reihenfolge Anzuwenden auf Zielobjekttyp

ISMS.1 Sicherheitsmanagement R1 Informationsverbund/übergeordnete Aspekte
ORP.1 Organisation R1 Informationsverbund/übergeordnete Aspekte
ORP.2 Personal R1 Informationsverbund/übergeordnete Aspekte
ORP.3 Sensibilisierung und Schulung zur Infor- R1 Informationsverbund/übergeordnete Aspekte
mationssicherheit
ORP.4 Identitäts- und Berechtigungsmanage- R1 Informationsverbund/übergeordnete Aspekte
ment
ORP.5 Compliance Management (Anforde- R3 Informationsverbund/übergeordnete Aspekte
rungsmanagement)
CON.1 Kryptokonzept R3 Informationsverbund/übergeordnete Aspekte
CON.2 Datenschutz R2 Informationsverbund/übergeordnete Aspekte
CON.3 Datensicherungskonzept R1 Informationsverbund/übergeordnete Aspekte
CON.6 Löschen und Vernichten R1 Informationsverbund/übergeordnete Aspekte
CON.7 Informationssicherheit auf Auslands- R3 Informationsverbund/übergeordnete Aspekte
reisen
CON.8 Software-Entwicklung R3 Informationsverbund/übergeordnete Aspekte
CON.9 Informationsaustausch R3 Informationsverbund/übergeordnete Aspekte
CON.10 Entwicklung von Webanwendungen R2 Informationsverbund/übergeordnete Aspekte
CON.11.1 Geheimschutz VS-NUR FÜR DEN R3 Informationsverbund/übergeordnete Aspekte
DIENSTGEBRAUCH (VS-NfD)
OPS.1.1.1 Allgemeiner IT-Betrieb R1 Informationsverbund/übergeordnete Aspekte
OPS.1.1.2 Ordnungsgemäße IT-Administra- R1 Informationsverbund/übergeordnete Aspekte
tion
OPS.1.1.3 Patch- und Änderungsmanage- R1 Informationsverbund/übergeordnete Aspekte
ment
OPS.1.1.4 Schutz vor Schadprogrammen R1 Informationsverbund/übergeordnete Aspekte
OPS.1.1.5 Protokollierung R1 Informationsverbund/übergeordnete Aspekte
OPS.1.1.6 Software-Tests und -Freigaben R1 Informationsverbund/übergeordnete Aspekte
OPS.1.1.7 Systemmanagement R2 Informationsverbund/übergeordnete Aspekte
OPS.1.2.2 Archivierung R3 Informationsverbund/übergeordnete Aspekte
OPS.1.2.4 Telearbeit R2 Informationsverbund/übergeordnete Aspekte
OPS.1.2.5 Fernwartung R3 Informationsverbund/übergeordnete Aspekte
OPS.1.2.6 NTP -Zeitsynchronisation R2 Anwendung
3IT-Grundschutz-Kompendium: Stand Februar 2023
Schichtenmodell und Modellierung
Baustein Reihenfolge Anzuwenden auf Zielobjekttyp
OPS.2.2 Cloud-Nutzung R2 Informationsverbund/übergeordnete Aspekte
OPS.2.3 Nutzung von Outsourcing R2 Informationsverbund/übergeordnete Aspekte
OPS.3.2 Anbieten von Outsourcing R3 Informationsverbund/übergeordnete Aspekte
DER.1 Detektion von sicherheitsrelevanten R1 Informationsverbund/übergeordnete Aspekte
Ereignissen
DER.2.1 Behandlung von Sicherheitsvorfällen R1 Informationsverbund/übergeordnete Aspekte
DER.2.2 Vorsorge für die IT-Forensik R3 Informationsverbund/übergeordnete Aspekte
DER.2.3 Bereinigung weitreichender Sicher- R3 Informationsverbund/übergeordnete Aspekte
heitsvorfälle
DER.3.1 Audits und Revisionen R3 Informationsverbund/übergeordnete Aspekte
DER.3.2 Revisionen auf Basis des Leitfadens R3 Informationsverbund/übergeordnete Aspekte
IS-Revision
DER.4 Notfallmanagement R3 Informationsverbund/übergeordnete Aspekte
APP.1.1 Office-Produkte R2 Anwendung
APP.1.2 Webbrowser R2 Anwendung
APP.1.4 Mobile Anwendungen (Apps) R2 Anwendung
APP.2.1 Allgemeiner Verzeichnisdienst R2 Anwendung
APP.2.2 Active Directory Domain Services R2 Anwendung
APP.2.3 OpenLDAP R2 Anwendung
APP.3.1 Webanwendungen und Webservices R2 Anwendung
APP.3.2 Webserver R2 Anwendung
APP.3.3 Fileserver R2 Anwendung
APP.3.4 Samba R2 Anwendung
APP.3.6 DNS-Server R2 Anwendung
APP.4.2 SAP-ERP-System R2 Anwendung
APP.4.3 Relationale Datenbanken R2 Anwendung
APP.4.4 Kubernetes R2 Anwendung
APP.4.6 SAP ABAP-Programmierung R2 Anwendung
APP.5.2 Microsoft Exchange und Outlook R2 Anwendung
APP.5.3 Allgemeiner E-Mail-Client und -Server R2 Anwendung
APP.5.4 Unified Communications und R2 Anwendung
Collaboration (UCC)
APP.6 Allgemeine Software R2 Anwendung
APP.7 Entwicklung von Individualsoftware R3 Informationsverbund/übergeordnete Aspekte
SYS.1.1 Allgemeiner Server R2 IT-System
SYS.1.2.2 Windows Server 2012 R2 IT-System
SYS.1.2.3 Windows Server R2 IT-System
SYS.1.3 Server unter Linux und Unix R2 IT-System
SYS.1.5 Virtualisierung R2 IT-System
SYS.1.6 Containerisierung R2 IT-System
SYS.1.7 IBM Z R2 IT-System
SYS.1.8 Speicherlösungen R2 IT-System
4 IT-Grundschutz-Kompendium: Stand Februar 2023
Schichtenmodell und Modellierung
Baustein Reihenfolge Anzuwenden auf Zielobjekttyp
SYS.1.9 Terminalserver R2 IT-System
SYS.2.1 Allgemeiner Client R2 IT-System
SYS.2.2.3 Clients unter Windows R2 IT-System
SYS.2.3 Clients unter Linux und Unix R2 IT-System
SYS.2.4 Clients unter macOS R2 IT-System
SYS.2.5 Client-Virtualisierung R2 IT-System
SYS.2.6 Virtual Desktop Infrastructure R2 IT-System
SYS.3.1 Laptops R2 IT-System
SYS.3.2.1 Allgemeine Smartphones und R2 IT-System
Tablets
SYS.3.2.2 Mobile Device Management R2 Informationsverbund/übergeordnete Aspekte
(MDM)
SYS.3.2.3 iOS (for Enterprise) R2 IT-System
SYS.3.2.4 Android R2 IT-System
SYS.3.3 Mobiltelefon R2 IT-System
SYS.4.1 Drucker, Kopierer und Multifunktions- R2 IT-System
geräte
SYS.4.3 Eingebettete Systeme R2 IT-System
SYS.4.4 Allgemeines IoT-Gerät R2 IT-System
SYS.4.5 Wechseldatenträger R2 IT-System
NET.1.1 Netzarchitektur und -design R2 Netz
NET.1.2 Netzmanagement R2 IT-System
NET.2.1 WLAN-Betrieb R2 Netz
NET.2.2 WLAN-Nutzung R2 IT-System
NET.3.1 Router und Switches R2 IT-System
NET.3.2 Firewall R2 IT-System
NET.3.3 VPN R2 IT-System
NET.3.4 Network Access Control R2 IT-System
NET.4.1 TK-Anlagen R2 IT-System
NET.4.2 VoIP R2 Netz
NET.4.3 Faxgeräte und Faxserver R2 IT-System
IND.1 Prozessleit- und Automatisierungs- R2 Informationsverbund/übergeordnete Aspekte
technik
IND.2.1 Allgemeine ICS-Komponente R2 IT-System
IND.2.2 Speicherprogrammierbare Steuerung R2 IT-System
(SPS)
IND.2.3 Sensoren und Aktoren R2 IT-System
IND.2.4 Maschine R2 IT-System
IND.2.7 Safety Instrumented Systems R2 IT-System
IND.3.2 Fernwartung im industriellen Umfeld R2 IT-System
INF.1 Allgemeines Gebäude R2 Gebäude/Raum
INF.2 Rechenzentrum sowie Serverraum R2 Gebäude/Raum
5IT-Grundschutz-Kompendium: Stand Februar 2023
Schichtenmodell und Modellierung
Baustein Reihenfolge Anzuwenden auf Zielobjekttyp
INF.5 Raum sowie Schrank für technische R2 Gebäude/Raum
Infrastruktur
INF.6 Datenträgerarchiv R2 Gebäude/Raum
INF.7 Büroarbeitsplatz R2 Gebäude/Raum
INF.8 Häuslicher Arbeitsplatz R2 Gebäude/Raum
INF.9 Mobiler Arbeitsplatz R2 Informationsverbund/übergeordnete Aspekte
INF.10 Besprechungs-, Veranstaltungs- und R2 Gebäude/Raum
Schulungsräume
INF.11 Allgemeines Fahrzeug R3 Gebäude/Raum
INF.12 Verkabelung R2 Gebäude/Raum
INF.13 Technisches Gebäudemanagement R2 Gebäude/Raum
INF.14 Gebäudeautomatisierung R2 Gebäude/Raum
Bearbeitungsreihenfolge der Bausteine

Um grundlegende Risiken abzudecken und eine ganzheitliche Informationssicherheit aufzubauen, müssen die essenziellen Sicherheitsanforderungen frühzeitig erfüllt und entsprechende Sicherheitsmaßnahmen umgesetzt werden.

  • Daher wird im IT-Grundschutz mit R1, R2 und R3 eine Reihenfolge für die umzusetzenden Bausteine vorgeschlagen (siehe Kapitel 2.1 Modellierung).

• R1: Diese Bausteine sollten vorrangig umgesetzt werden, da sie die Grundlage für einen effektiven Sicherheitsprozess bilden. • R2: Diese Bausteine sollten als nächstes umgesetzt werden, da sie in wesentlichen Teilen des Informationsverbundes für nachhaltige Sicherheit erforderlich sind. • R3: Diese Bausteine werden zur Erreichung des angestrebten Sicherheitsniveaus ebenfalls benötigt und müssen umgesetzt werden.

  • Es wird empfohlen, diese erst nach den anderen Bausteinen zu betrachten.

Diese Kennzeichnung zeigt eine sinnvolle zeitliche Reihenfolge für die Umsetzung der Anforderungen des jeweiligen Bausteins auf und stellt keine Gewichtung der Bausteine untereinander dar.

  • Grundsätzlich müssen alle für den jeweiligen Informationsverbund relevanten Bausteine des IT-Grundschutz-Kompendiums umgesetzt werden.

TMP

topic - Kurzbeschreibung

Beschreibung

Modellierung

Vergleich Soll-Zustand

Beschreibt Schutzbedarf

Ist-Zustand
  • beschreibt Bedrohungs- und Risikoanalyse
Ergebnis
  • Maßnahmen zur Abwehr der Bedrohungen
Klassifizierung der Maßnahmen
  • Wichtigkeit
  • Kosten
  • Aufwand

Maßnahmen

Erfassung erforderlicher Maßnahmen
  • Erfüllung des Schutzbedarfs der Sicherheitsstrategie (security policy)
  • Informell oder präzise
Klassen von Anwendungen haben ähnliche Schutzbedürfnisse
  • Daher können allgemeine Sicherheitsgrundfunktionen eingesetzt werden
Kriterienkataloge definieren Funktionsklassen für Anwendungsszenarien
  • Common Criteria
Anwender sollte klären
  • ob seine Sicherheitsanforderungen bereits von einer dieser Klassen abgedeckt wird
  • welche Kombination von Grundfunktionen er braucht

Systemarchitektur

Architekturgrobentwurf
  • Identifikation der zu schützenden Komponenten
  • Definition der Sicherheitskomponenten
Feinentwurf
  • Verfeinerung und detaillierte Spezifikation der Komponenten
  • präziser Rahmen für Implementierung
  • Wahl der nötigen Datenstrukturen, Algorithmen
Nutzung von Standardmechanismen
  • kryptografische Protokolle
  • Passwortschutz
  • ACLs
  • Protokolle zur Schlüsselverteilung