• Embed Doc
  • Copy Link
  • Readcast
  • Collections
  • CommentGo Back
Download
 
 Bernhard Tinner5. September 20091166 IT-Grundschutz modellieren
166 IT-Grundschutz modellieren
Zusammenfassung
 Ziel des IT-Grundschutz
Ziel des IT-Grundschutzes ist, durch geeigneteAnwendung von Standard-Sicherheitsmassnahmen für die eingesetztenIT-Systeme ein Sicherheitsniveau zu errei-chen, das für normalen Schutzbedarf ange-messen ist.
Was ist der Inhalt des Grundschutzhand-buchs?
Das GSHB ist ein Baukastensystem aus Schich-ten und Bausteinen.
Das GSHB strukturiert dieIT-Systeme, IT-Einsatzgebiete und Empfehlungennach dem Baukastenprinzip.Das erleichtert die Analysen und unterstützt dasAuffinden vordefinierter Massnahmen.
Gliederung des IT Grundschutzhandbuchs
1)
 
Kapitel 1 =
Wegweiser
durch das IT-Grundschutzhandbuch2)
 
Kapitel 2 =
Anwendung
des IT-Grundschutzhandbuchs3)
 
restliche Kapitel die
Bausteine
, mit derenHilfe das Sicherheitskonzept entwickelt undüberprüft werden kann4)
 
Gefährdungskataloge
mit möglichen Scha-densszenarien5)
 
Massnahmenkataloge
mit Empfehlungen fürtechn. Und org. Sicherheitsmassnahmen6)
 
Anhang mit ergänzenden Informationen,Checklisten & Hilfsmitteln
Das Grundschutzhandbuch besteht aus Kata-logen mit folgenden Bereichen
 
Infrastruktur
 
Organisation
 
Personal
 
Hard- & Software
 
Kommunikation
 
Notfallvorsorge
Der Aufbau eines IT-Grunschutzes bestehtaus folgendem Vorgehen
 
Systemanalyse
 
Schutzbedarfes-Feststellung
 
Modellieren des Grundschutzes
 
Basis-Sicherheitschecks
 
Ergänzende Sicherheitsmassnahmen
ISO/IEC 17799
Ist eine Sammlung von Massnahmen nach dem
"Best Practice"-Ansatz
IT Strukturanalyse
 
1. Netzplanerhebung
 
2. Gruppenbildung
 
3. Erhebung der Komponenten
 
4. Erhebung der Applikationen
 
5. Erhebung der Systemepro Applikation
Prozess der Schutzbedarfsfeststellung
1.
 
Festlegung der
Schutzbedarfskategorien
 2.
 
Prüfen der Auswirkungen bei Verlust von
Ver-fügbarkeit, Vertraulichkeit und Integrität
 3.
 
Ableiten der
Schutzbedarfs
für
betroffeneIT-Systeme
4.
 
Ableitung der
Kommunikationsverbindungen
 (von und zu den Systemen)5.
 
Ableiten des
Schutzbedarfs der Räume
, inwelchen die Systeme betrieben werden
Grundschutzmodellierung
Jede IT-Komponente entspricht einer oder meh-reren Komponenten aus dem Grundschutzhand-buch.
 
 Bernhard Tinner5. September 20092166 IT-Grundschutz modellieren
Basis Sicherheitscheck
 
Der Basis-Sicherheitscheck verglicht die
emp-fohlenen
mit den
realisierten
Sicherheits-massnahmen.
 
Die Abweichungen werden im
Realisierungs-plan
festgehalten.
AufbauSchutzbedarfskategorien
Kategorie Bedeutung
Normal Standard-Sicherheitsmassnahmennach IT-Grundschutz sind im Allge-meinen
ausreichend
und
angemes-sen
.Hoch Standard-Sicherheitsmassnahmennach IT-Grundschutz bilden einenBasisschutz,
sind aber unter um-ständen alleine nicht ausreichend
.Weitergehende Massnahmen könnenauf Basis einer
ergänzenden Si-cherheitsanalyse
ermittelt werdenSehr hoch Standard-Sicherheitsmassnahmennach IT-Grundschutz bilden einen
Basisschutz, reichen aber alleinenicht aus
.Die erforderlichen
zusätzlichenSicherheitsmassnahmen
müssenindividuell auf der Grundlage einer
ergänzenden Sicherheitsanalyse
 ermittelt werden.
Gesetze
Das Datenschutzgesetz hat folgende Aufga-ben:
Datensammlungen mit:
 
Daten zu
religiösen, weltanschaulichen,politischen und gewerkschaftlichen
Aus-richtung / Tätigkeit
 
Gesundheitdaten
 
Daten zur
Intimsphäre
 
 
Daten zur
Rassenzugehörigkeit
 
 
Daten zu
Massnamen der sozialen Hilfe
 
 
Daten zu
administrativen & strafrechtlichenVerfolgungen
und Sanktionen
Was ist das Strafgesetzbuch (StGB)
Gibt Hinweise über die rechtliche Verantwort-lichkeit bei der
Verwendung und Aufbewahrungvon Informationen und Daten
(Beweisführung)Bestimmt, dass der Geschädigte nachweisenkönnen muss, dass Schutzmassnahmen getroffenwurden und die Sorgfaltspflicht nicht verletztwurde.
 
 Bernhard Tinner5. September 20093166 IT-Grundschutz modellieren
Schutzmassnahmen in Bezug auf:
Begriff Bedeutung
Vertraulichkeit bedeutet, dass nur
berechtigte
 Personen auf
vertrauliche
Da-ten und Informationen
Zugriff 
 habenVerfügbarkeit Darunter versteht man z.B. die
Wartezeit auf Systemfunktio-nen
(responce time) oder die
Datenverarbeitungs-geschwindigkeit
(transactiontime)Integrität bedeutet, dass eine Informati-on
vollständig, unverfälschtund korrekt
sein muss.Verbindlichkeit Verbindlichkeit bedeutet, dasseine
Abmachung
bzw. ein
Ver-trag
verbindlich sein muss.
Verbindlichkeit
Es gelten dabei folgende Aspekte:
 
Einhaltung der vertraglichen und gesetzli-chen Bedingungen
 
Anerkennung des Empfangs von Informatio-nen
 
Nachweisbarkeit von Kommunikationsvorgän-gen
 
Juristische Akzeptanz (Rechtsverbindlichkeit)
Bedrohungen
Bedro-hungBeispieleHöhereGewalt
 
Unterbrechungsfreie Stromver-sorgung
 
Brandschutzeinrichtungen (inkl.Alamierung)
 
Aufgeräumte Rechenzentren
 
Klimaeinrichtungen
Men-schlichesVersagen
 
Schulung (Sicherheit beginnt imKopf)
 
Sichere Applikationsfunktionenzur Verhinderung von Fehlmani-pulationen
 
Umfangreiche Testszenarien
 
Restriktive Zugangskontrolle
 
Stellvertreterregelung
Tech-nischesVersagen
 
Vermeidung von Redundanzen
 
Wartungsverträge
 
Intensive Testszenarien und Ab-nahmeverfahren
 
Notfallkonzept
Vorsätzliches Han-deln
 
Physische Zutrittskontrollen
 
Zugangskontrollen (Passworter,Benutzerkennung)
 
Netzwerksicherheit (Firewall,Kryptologie)
 
Systemsicherheit (Abschaltennicht benötigter Dienste)
Bedro-hungBeispieleOrgnisa-torischeMängel
 
Konzepte
 
Schaffen von neuen Stellen undFunktionen innerhalb einer Or-ganisation
 
Zuordnung von Aufgaben undVerantwortlichkeiten
 
Sicherheits-Policy
 
Weisungen
Massnahmen gegen Bedrohungen
Bedrohung Massnahmen
derInfrastruktur
 
Bauliche Massnahmen
 
Zutrittsschutz
 
ÜberwachungdurchPersonal
 
Schulung
 
WeisungenderOrganisation
 
Strategien
 
Abläufe
 
Konzepteder Hard- &Software
 
Zugriffsverfahren
 
Rechtevergabe
 
Redundanzen
 
Betriebder Kommuni-kation
 
Protokolle
 
Kryptographie
 
Netzwerkdiensteder Notfallvor-sorge
 
Datensicherung
 
Notfallkonzepte
of 00

Leave a Comment

You must be to leave a comment.
Submit
Characters: ...
You must be to leave a comment.
Submit
Characters: ...