IT Baseline Protection

itsmf/ / IT-beheer

Als IT-Grundschutz verwijst de federale overheid naar een procedure die is ontwikkeld door het Federaal Bureau voor Informatiebeveiliging (BSI) voor het vaststellen en implementeren van beveiligingsmaatregelen van de eigen informatietechnologie (IT) van het bedrijf . Het doel van de basisbescherming is om een ​​medium, voldoende en voldoende niveau van bescherming voor IT-systemen te bereiken. Om het doel te bereiken, adviseren de IT-Grundschutz-catalogi technische beveiligingsmaatregelen en maatregelen voor infrastructuur, organisatie en personeelsbescherming.

Net als in de Federal Data Protection Act zijn de termen beveiliging en bescherming kleurrijk gemengd. De IT-Grundschutz is een handige titel voor het samenstellen van elementaire beveiligingsmaatregelen en aanvullende beschermingsprogramma’s voor autoriteiten en bedrijven. Dit implementeert ook technische maatregelen voor gegevensbescherming, maar als gevolg van een ander beschermingsobject, namelijk de betrokkene, kan IT-Grundschutz niet voldoen aan de operationele vereisten van gegevensbescherming. In een methodologische analogie met IT-Grundschutz is het standaard databeschermingsmodel (SDM) ontwikkeld, dat ook de basis vormt voor een ontwikkeld gegevensbeschermingsbeheer.

Bedrijven en autoriteiten kunnen hun systematische aanpak van het beveiligen van hun IT-systemen ( Information Security Management System (ISMS) ) bewijzen tegen bedreigingen voor IT-beveiliging met behulp van het ISO / IEC 27001-certificaat op basis van IT-Grundschutz .

BSI-normen en IT-Grundschutz-catalogi

De herstructurering en uitbreiding van het Handboek IT Baseline Protection in 2006 door het Federaal Bureau voor Informatiebeveiliging (BSI), die waren methodologie en de IT Baseline Protection Catalogs afzonderlijk. Vier BSI standaarden bevatten informatie over de structuur van de informatiebeveiliging managementsysteem (ISMS) ( 100-1 ) werd de procedure van basische veiligheidsbeheer ( 100-2 ) en het creëren van een risicoanalyse voor hoge en zeer hoge eisen gebouwenbeschermingssysteem op Uitgevoerde basische beschermende verhoging ( 100 -3 ). In 2008 werd de BSI-standaard 100-4″Emergency Management” ontwikkeld. Het bevat essentiële aspecten voor een adequaat Business Continuity Management (BCM) en combineert elementen uit de BS 25999 evenals het ITIL Service Continuity Management met de relevante bouwstenen van de IT-Grundschutz Catalogi. Met de implementatie van deze norm is certificering volgens BS 25999-2mogelijk.

Sinds 2006 past het BSI zijn normen regelmatig aan aan internationale normen zoals ISO / IEC 27001 .

De IT-Grundschutz-catalogi zijn een verzameling documenten die de stapsgewijze introductie en implementatie van een ISMS uitleggen. Voor dit doel worden blokken, gevaren en maatregelen als voorbeelden gedefinieerd.

Concept

De basis van een IT-Grundschutz-concept is de eerste afstand doen van een gedetailleerde risicoanalyse. Er wordt aangenomen dat forfaitaire gevaren en de gedifferentieerde classificatie afgezien van de hoeveelheid schade en de waarschijnlijkheid van optreden. Er worden drie beschermingscategorieën ingesteld, met behulp waarvan de beveiligingsvereisten van het onderzoeksobject worden bepaald en de passende beveiligingsmaatregelen voor personeel, techniek, organisatie en infrastructuur worden gekozen uit de IT-Grundschutz-catalogi .

Op basis van de IT-Grundschutz Catalogi van de Duitse BSI heeft BSI Standard 100-2 (voor 2006 IT Baseline Protection Manual , een “recept” voor een normaal niveau van bescherming). Naast de waarschijnlijkheid van optreden en mogelijke schade, worden de implementatiekosten in rekening gebracht. Door het gebruik van de IT Baseline Protection Catalogs een uitgebreide analyse van de veiligheid, die vakkennis vereist, zoals in eerste instantie gewerkt met pauschalisierten gevaren geëlimineerd. Het is ook mogelijk om als relatieve leek de maatregelen te identificeren die moeten worden genomen en deze in samenwerking met deskundigen te implementeren.

Als bevestiging voor de succesvolle implementatie van de basisbescherming samen met de oprichting van een informatiebeveiligingsbeheersysteem (ISMS) , geeft de BSI een certificaat ISO / IEC 27001 uit op basis van IT-Grundschutz . In niveaus 1 en 2 is het gebaseerd op zelfverklaringen, in niveau 3 wordt een controle uitgevoerd door een onafhankelijke auditor met een vergunning van de BSI . Deze procedure is gebaseerd op de nieuwe BSI-veiligheidsnormen . Deze procedure houdt rekening met een ontwikkeling die al geruime tijd heerst. Bedrijven die zijn gecertificeerd volgens de ISO / IEC 27001- norm zijn voor risicoanalysebegaan. Om het comfortabeler te maken, wordt het meestal vermeden om de noodzaak van bescherming te bepalen inovereenstemming met IT-Grundschutz Catalogi . Het voordeel is zowel het behalen van de certificering naar ISO / IEC 27001 , alsmede voor de overeenstemming met de strikte regelgeving van de BSI. Bovendien biedt de BSI enkele hulpmiddelen zoals voorbeeldrichtlijnen en de GSTOOL .

Er is ook een bouwsteen voor gegevensbescherming , ontwikkeld door de federale commissaris voor gegevensbescherming en vrijheid van informatie in samenwerking met de gegevensbeschermingsautoriteiten van de federale staten en geïntegreerd in de IT-Grundschutz-catalogi . Dit onderdeel wordt echter niet beschouwd als een nationaal kenmerk in de certificeringsprocedure voor een internationale norm.

IT-Grundschutzvorgangsweise

Volgens de IT-Grundschutzvorgangsweise worden de volgende stappen uitgevoerd:

  • Definitie van het informatienetwerk
  • Implementatie van een IT-structuuranalyse
  • Het uitvoeren van een evaluatie van de beschermingsbehoefte
  • modellering
  • Een basisveiligheidscontrole uitvoeren
  • Het uitvoeren van een aanvullende veiligheidsanalyse (mogelijk volgende risicoanalyse)
  • Consolidering van maatregelen
  • Implementatie van de IT-Grundschutz-maatregelen

IT-structurele analyse

Een informatienetwerk moet worden begrepen als het geheel van infrastructurele , organisatorische, personele en technische componenten die dienen om de taak uit te voeren in een specifiek toepassingsgebied van informatieverwerking . In deze context kan een informatienetwerk de volledige IT van een instelling of zelfs afzonderlijke gebieden omvatten, die kan worden gedefinieerd door organisatiestructuren (bijvoorbeeld afdelingsnetwerk) of gemeenschappelijke IT-toepassingen.(bijv. persoonlijke informatiesysteem) zijn gestructureerd. Voor het creëren van een IT-beveiligingsconcept en in het bijzonder voor de toepassing van de IT-Grundschutz-catalogi, is het noodzakelijk de structuur van de bestaande informatietechnologie te analyseren en te documenteren. Vanwege het sterke netwerk van IT-systemen van vandaag is een netwerktopologieplan het startpunt voor de analyse. De volgende aspecten moeten worden overwogen:

  • de bestaande infrastructuur ,
  • de organisatorische en personeelsvoorwaarden voor het informatienetwerk,
  • Genetwerkte en niet-genetwerkte IT-systemen gebruikt in het informatienetwerk ,
  • de communicatieverbindingen tussen de IT-systemen en de buitenkant,
  • in het informatienetwerk bediende IT-toepassingen.

Evaluatie van beschermingsbehoeften

Het doel van het vaststellen van beschermingsvereisten is om te bepalen welke bescherming voldoende en geschikt is voor de informatie en de gebruikte informatietechnologie. Voor elke toepassing en de verwerkte informatie wordt rekening gehouden met de verwachte schade die kan optreden als vertrouwelijkheid, integriteit of beschikbaarheid in het gedrang komt. Ook belangrijk is een realistische inschatting van mogelijke gevolgschade. Er is onderscheid gemaakt in de drie beschermingscategorieën “normaal”, “hoog” en “zeer hoog” [1] . Vertrouwelijkheid maakt vaak gebruik van “publiek”, “intern” en “geheim”.

De vereiste beveiliging voor een server is afhankelijk van de toepassingen die erop worden uitgevoerd. Opgemerkt moet worden dat verschillende IT-applicaties op één IT-systeem kunnen draaien, waarbij de toepassing met de hoogste beveiligingsvereiste de categorie van de beveiligingsvereisten van het IT-systeem bepaalt (het zogenaamde maximale principe ).

Het kan zijn dat er meerdere applicaties draaien op een server met lage beveiligingsvereisten – min of meer onbelangrijke applicaties. Kortom, deze toepassingen moeten worden voorzien van een hoger beschermingsniveau ( cumulatief effect ).

Anderzijds is het denkbaar dat een IT-toepassing waarvoor een hoge bescherming die niet automatisch doorgeeft aan het computersysteem, omdat dit overbodig ofwel uitgevoerd op dat slechts kleine gedeelten ( verdelingseffect ). Dit is z. B. in clusters van de zaak.

Modelleren

Informatietechnologie in overheidsinstanties en bedrijven wordt tegenwoordig meestal gekenmerkt door IT-systemen met een hoog netwerk. In de regel is het daarom raadzaam om de hele IT en niet de individuele IT-systemen te beschouwen als onderdeel van een IT-beveiligingsanalyse of IT-beveiligingsconcept. Om deze taak te kunnen beheersen, is het logisch om de volledige IT in logisch afzonderlijke delen te verdelen en afzonderlijk naar een onderdeel, een informatienetwerk, te kijken. Vereisten voor de toepassing van de IT-Grundschutz-catalogi op een informatienetwerk zijn gedetailleerde documenten over de structuur ervan. Deze kunnen bijvoorbeeld worden verkregen via de hierboven beschreven IT-structuuranalyse.

Basisbeveiligingscontrole

De basisbeveiligingscontrole is een organisatie-instrument dat een snel overzicht biedt van het bestaande IT-beveiligingsniveau. Met behulp van interviews wordt de status-quo bepaald van een bestaand (gemodelleerd naar IT-Grundschutz) informatienetwerk in termen van de mate van implementatie van beveiligingsmaatregelen van IT-Grundschutz-catalogi. Het resultaat is een catalogus waarin de implementatiestatus “vervangbaar”, “ja”, “gedeeltelijk” of “nee” wordt geregistreerd voor elke relevante meetwaarde. Door maatregelen te identificeren die nog niet zijn geïmplementeerd of slechts gedeeltelijk zijn geïmplementeerd, worden verbeteringen voor de beveiliging van de beschouwde informatietechnologie weergegeven.

De basisveiligheidscheck biedt informatie over de ontbrekende meetwaarden (doel / werkelijke vergelijking). Hieruit volgt wat nog moet worden gedaan om een ​​elementaire beveiliging van de beveiliging te verkrijgen.

De basisbeveiligingscontrole brengt de basisbeschermingsmaatregelen in kaart. Dit niveau is alleen voldoende voor kleine tot middelgrote beveiligingsbehoeften. Volgens ramingen van BSI is dit ongeveer 80% van de IT-systemen. Voor hoge / zeer hoge beveiligingssystemen worden vaak informatiebeveiligingsconcepten gebruikt die zijn gebaseerd op risicoanalyse , zoals ISO / IEC 27001.

Aanvullende beveiligingsanalyse

In de aanvullende veiligheidsanalyse wordt bepaald of een risicoanalyse via het kruis-referentietabel van de BSI wordt uitgevoerd voor IT-systemen met hoge / zeer hoge eisen bescherming. De risicoanalyse kan met behulp van de BSI standaard 100-3 worden uitgevoerd.

Consolidatie van metingen

Identificatie van mogelijk dubbel gemodelleerde maatregelen.

Individuele proeven

  1. Jumping Up↑ https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/ITGrundschutzstandards/BSI-Standard_1003.pdf?__blob=publicationFile

Literatuur

  • Norbert Pohlmann , Hartmut F. Blumberg: de IT-beveiligingsgids. (De specificatie voor de implementatie van IT-beveiligingsnormen in het bedrijf Planning en implementatie van IT-beveiligingsoplossingen IT-beveiliging ontwerpen als een continu bedrijfsproces Illustratie en aanpassing van de normen ISO 13335 en BS 7799). mitp, Bonn 2004, ISBN 3-8266-0940-9 .
  • Felix Freiling, Rüdiger Grimm, Karl-Erwin Großpietsch, Hubert B. Keller, Jürgen Mottok, Isabel Münch , Kai Rannenberg, Francesca Saglietti: Technische beveiliging en informatiebeveiliging – verschillen en overeenkomsten . In: Computer Science Spectrum . Februari 2014, Volume 37, Issue 1, pp. 14-24 doi : 10.1007 / s00287-013-0748-2
  • Isabel Münch : IT-Grundschutz voor het beheer van IT-risico’s in bedrijven . In: Torsten Gründer: handboek IT-beveiligingsbeheer. Risico’s, Basel II, wet Erich Schmidt Verlag , 2007, pp. 285-308 ISBN 978-3-503-10002-6

Leave a Reply

Your email address will not be published.