Modellierung nach IT-Grundschutz
Bei der Umsetzung von IT-Grundschutz muss der betrachtete IT-Verbund mit Hilfe der vorhandenen Bausteine nachgebildet werden, also die relevanten Sicherheitsmassnahmen aus den IT-Grundschutz-Katalogen zusammengetragen werden. Dafür müssen die IT-Strukturanalyse und eine Schutzbedarfsfeststellung vorliegen.
Für die Abbildung eines im Allgemeinen komplexen IT-Verbunds auf die Bausteine der IT-Grundschutz-Kataloge bietet es sich an, die IT-Sicherheitsaspekte gruppiert nach bestimmten Themen zu betrachten.
- Schicht 1 = B 1: Übergeordnete Aspekte der IT Sicherheit
- Schicht 2 = B 2: Sicherheit der Infrastruktur
- Schicht 3 = B 3: Sicherheit der IT Systeme
- Schicht 4 = B 4: Sicherheit im Netz
- Schicht 5 = B 5: Sicherheit in Anwendungen
Die Aufgabenstellung bei der Modellierung nach IT Grundschutz besteht nun darin, für die Bausteine einer jeden Schicht zu entscheiden, ob und wie sie zur Abbildung des IT Verbunds herangezogen werden können. Je nach betrachtetem Baustein können die Zielobjekte dieser Abbildung von unterschiedlicher Art sein: einzelne Geschäftsprozesse oder Komponenten, Gruppen von Komponenten, Gebäude, Liegenschaften, Organisationseinheiten usw.
Bei der Modellierung eines IT-Verbunds nach IT-Grundschutz kann das Problem auftreten, dass es Zielobjekte gibt, die mit den existierenden Bausteinen des IT-Grundschutzes nicht hinreichend abgebildet werden können. In diesem Fall sollte eine ergänzenden Sicherheitsanalyse durchgeführt werden, wie in der IT-Grundschutz-Vorgehensweise beschrieben.
Zur Versinnbildlichung wird dies nachfolgend mit Schicht 1 „Übergeordnete Aspekte der IT Sicherheit“ durchgeführt.
Modellierung Schicht 1
In dieser Schicht werden alle Aspekte des IT-Verbunds modelliert, die den technischen Komponenten übergeordnet sind. Im Vordergrund stehen dabei Konzepte und die von diesen Konzepten abgeleiteten Regelungen. Diese Aspekte sollten für den gesamten IT-Verbund einheitlich geregelt sein, so dass die entsprechenden Bausteine in den meisten Fällen nur einmal für den gesamten IT-Verbund anzuwenden sind.
Unabhängig von den eingesetzten technischen Komponenten sind die entsprechenden Bausteine daher immer anzuwenden:
- Der Baustein B 1.0 IT-Sicherheitsmanagement ist für den gesamten IT-Verbund einmal anzuwenden
- Der Baustein B 1.1 Organisation muss für jeden IT-Verbund mindestens einmal herangezogen werden
- Der Baustein B 1.2 Personal muss für jeden IT-Verbund mindestens einmal herangezogen werden
- Der Baustein B 1.3 Notfallvorsorge-Konzept ist zumindest dann anzuwenden, wenn in der Schutzbedarfsfeststellung Komponenten identifiziert wurden, die einen hohen oder sehr hohen Schutzbedarf in Bezug auf Verfügbarkeit haben oder wenn grössere IT-Systeme bzw. umfangreiche Netze betrieben werden
- Der Baustein B 1.4 Datensicherungskonzept ist für den gesamten IT-Verbund einmal anzuwenden
- Der Baustein B 1.6 Computer-Virenschutzkonzept ist für den gesamten IT-Verbund einmal anzuwenden
- Der Baustein B 1.7 Kryptokonzept ist zumindest dann anzuwenden, wenn in der Schutzbedarfsfeststellung Komponenten identifiziert wurden, die einen hohen oder sehr hohen Schutzbedarf in Bezug auf Vertraulichkeit oder Integrität haben, oder wenn bereits kryptographische Verfahren im Einsatz sind
- Der Baustein B 1.8 Behandlung von Sicherheitsvorfällen ist zumindest dann anzuwenden, wenn in der Schutzbedarfsfeststellung Komponenten identifiziert wurden, die einen hohen oder sehr hohen Schutzbedarf in Bezug auf einen der drei Grundwerte haben, oder wenn der Ausfall des gesamten IT-Verbunds einen Schaden in den Kategorien hoch oder sehr hoch zur Folge hat
- Der Baustein B 1.9 Hard- und Software-Management muss für jeden IT-Verbund mindestens einmal herangezogen werden
- Der Baustein B 1.10 Standardsoftware ist zumindest einmal für den gesamten IT-Verbund anzuwenden
- Der Baustein B 1.11 Outsourcing ist zumindest dann anzuwenden, wenn die folgenden Bedingungen alle erfüllt sind:
- IT-Systeme, Anwendungen oder Geschäftsprozesse werden zu einem externen Dienstleister ausgelagert, und
- die Bindung an den Dienstleister erfolgt auf längere Zeit, und
- durch die Dienstleistung kann die IT-Sicherheit des Auftraggebers beeinflusst werden, und
- im Rahmen der Dienstleistungen erbringt der Dienstleister auch regelmässig nennenswerte IT-Sicherheitsmanagement-Tätigkeiten
- Der Baustein B 1.12 Archivierung ist auf den IT-Verbund anzuwenden, wenn aufgrund interner oder externer Vorgaben eine Langzeitarchivierung elektronischer Dokumente erforderlich ist oder bereits ein System zur Langzeitarchivierung elektronischer Dokumente betrieben wird
- Der Baustein B 1.13 IT-Sicherheitssensibilisierung und -schulung ist für den gesamten IT-Verbund einmal anzuwenden