IT-baslinjeskydd

IT -baslinjeskyddet ( tyska : IT-Grundschutz ) tillvägagångssätt från det tyska förbundskontoret för informationssäkerhet (BSI) är en metod för att identifiera och implementera datasäkerhetsåtgärder i en organisation. Målet är att uppnå en adekvat och lämplig säkerhetsnivå för IT-system. För att nå detta mål rekommenderar BSI "väl beprövade tekniska, organisatoriska, personalmässiga och infrastrukturella skyddsåtgärder". Organisationer och federala myndigheter visar sitt systematiska tillvägagångssätt för att säkra sina IT-system (t.ex. Information Security Management System) genom att erhålla ett ISO/IEC 27001-certifikat på basis av IT-grundskydd .

Översikt grundläggande säkerhet

Termen baslinjesäkerhet betyder standardsäkerhetsåtgärder för typiska IT-system. Det används i olika sammanhang med lite olika betydelser. Till exempel:

Microsoft Baseline Security Analyzer : Mjukvaruverktyg fokuserat på Microsofts operativsystem och tjänster säkerhet
Cisco-säkerhetsbaslinje : leverantörsrekommendation fokuserad på säkerhetskontroller för nätverk och nätverksenheter
Nortels baslinjesäkerhet : Uppsättning krav och bästa praxis med fokus på nätverksoperatörer
ISO/IEC 13335-3 definierar en baslinje för riskhantering. Denna standard har ersatts av ISO/IEC 27005 , men baslinjemetoden har ännu inte tagits över till 2700x-serien.
Det finns många interna grundläggande säkerhetspolicyer för organisationer,
Den tyska BSI har en omfattande grundläggande säkerhetsstandard, som är kompatibel med ISO/IEC 27000-serien

BSI IT baslinjeskydd

Grunden för ett IT-baslinjeskyddskoncept är till en början inte en detaljerad riskanalys. Det utgår från övergripande faror. Följaktligen ignoreras sofistikerad klassificering efter skadeomfattning och sannolikhet att inträffa. Tre skyddsbehovskategorier fastställs. Med deras hjälp kan skyddsbehoven för föremålet som undersöks fastställas. Baserat på dessa väljs lämplig personal, tekniska, organisatoriska och infrastrukturella säkerhetsåtgärder från IT Baseline Protection Catalogs.

Federal Office for Security in Information Technologys IT Baseline Protection Catalogs erbjuder ett "kokboksrecept" för en normal skyddsnivå. Förutom sannolikheten att inträffa och potentiella skadeomfattningar beaktas även implementeringskostnader. Genom att använda Baseline Protection Catalogs undviks kostsamma säkerhetsanalyser som kräver expertkunskap, eftersom övergripande risker bearbetas i början. Det är möjligt för den anhörige lekmannen att identifiera åtgärder som ska vidtas och att genomföra dem i samarbete med professionella.

BSI beviljar ett baslinjeskyddscertifikat som bekräftelse på framgångsrik implementering av baslinjeskydd. I steg 1 och 2 baseras detta på självdeklaration. I steg 3 genomför en oberoende, BSI-licensierad revisor en revision. Internationalisering av certifieringsprocessen har varit möjlig sedan 2006. ISO/IEC 27001 -certifiering kan ske samtidigt med IT-baslinjeskyddscertifiering. (ISO/IEC 27001-standarden är efterföljaren till BS 7799-2 ). Denna process är baserad på de nya BSI-säkerhetsstandarderna. Denna process har ett utvecklingspris som har rådt under en tid. Företag som själva är certifierade enligt BS 7799-2 är skyldiga att utföra en riskbedömning . För att göra det bekvämare avviker de flesta från analysen av skyddsbehov enligt IT Baseline Protection Catalogs. Fördelen är inte bara överensstämmelse med den strikta BSI , utan också uppnåendet av BS 7799-2 certifiering. Utöver detta erbjuder BSI några hjälpmedel som policymallen och GSTOOL.

En dataskyddskomponent är tillgänglig, som producerades i samarbete med den tyska federala kommissarien för dataskydd och informationsfrihet och de statliga dataskyddsmyndigheterna och integrerad i IT Baseline Protection Catalog. Denna komponent beaktas dock inte i certifieringsprocessen.

Baslinjeskyddsprocess

Följande steg vidtas i enlighet med grundskyddsprocessen under strukturanalys och skyddsbehovsanalys :

IT-nätverket är definierat.
IT-strukturanalys genomförs.
Bestämning av skyddsbehov utförs.
En grundläggande säkerhetskontroll genomförs.
IT-baslinjeskyddsåtgärder implementeras.

Skapandet sker i följande steg:

IT- strukturanalys (enkät)
Bedömning av skyddsbehov
Urval av åtgärder
Löpande jämförelse av nominell och faktisk.

IT-strukturanalys

Ett IT-nätverk inkluderar helheten av infrastrukturella , organisatoriska, personalmässiga och tekniska komponenter som tjänar fullgörandet av en uppgift inom ett visst applikationsområde för informationsbehandling . Ett IT-nätverk kan därmed omfatta hela IT-karaktären av en institution eller enskild avdelning, som är uppdelad av organisatoriska strukturer som exempelvis ett avdelningsnätverk, eller som delade IT- applikationer , till exempel ett personalinformationssystem. Det är nödvändigt att analysera och dokumentera den informationsteknologiska strukturen i fråga för att generera ett IT-säkerhetskoncept och speciellt för att tillämpa IT Baseline Protection Catalogs. På grund av dagens vanligtvis starkt nätverksanslutna IT-system erbjuder en nätverkstopologiplan en utgångspunkt för analysen. Följande aspekter måste beaktas:

Den tillgängliga infrastrukturen ,
Det organisatoriska och personalmässiga ramverket för IT-nätverket,
Nätverksanslutna och icke-nätverksanslutna IT-system som används i IT-nätverket.
Kommunikationsförbindelserna mellan IT-system och externt,
IT-applikationer körs inom IT-nätverket.

Skydd kräver beslutsamhet

Syftet med skyddsbehovsbestämningen är att utreda vilket skydd som är tillräckligt och lämpligt för den informations- och informationsteknik som används. I detta sammanhang beaktas skadorna på varje ansökan och den behandlade informationen, som kan bli följden av ett brott mot sekretess, integritet eller tillgänglighet. Viktigt i sammanhanget är en realistisk bedömning av de eventuella följdskadorna. En uppdelning i de tre skyddsbehovskategorierna "lågt till medel", "högt" och "mycket högt" har visat sig värdefullt. "Public", "intern" och "hemlig" används ofta för sekretess.

Modellering

Tungt nätverksanslutna IT-system kännetecknar vanligtvis informationsteknologi inom myndigheter och företag i dessa dagar. Som regel är det därför fördelaktigt att beakta hela IT-systemet och inte bara enskilda system inom ramen för en IT-säkerhetsanalys och koncept. För att kunna hantera denna uppgift är det logiskt att dela upp hela IT-systemet i delar och att separat överväga varje del eller till och med ett IT-nätverk. Detaljerad dokumentation om dess struktur är en förutsättning för användning av IT Baseline Protection Catalogs på ett IT-nätverk. Detta kan till exempel uppnås via den IT-strukturanalys som beskrivs ovan. IT Baseline Protection Catalogs komponenter måste i slutändan mappas på komponenterna i IT-nätverket i fråga i ett modelleringssteg.

Baslinjesäkerhetskontroll

Baslinjesäkerhetskontrollen är ett organisatoriskt instrument som ger en snabb överblick över den rådande IT-säkerhetsnivån. Med hjälp av intervjuer undersöks status quo för ett befintligt IT-nätverk (som modellerats av IT-baslinjeskydd) i förhållande till antalet säkerhetsåtgärder som implementerats från IT Baseline Protection Catalogs. Resultatet är en katalog där implementeringsstatusen "dispenserbar", "ja", "delvis" eller "nej" anges för varje relevant åtgärd. Genom att identifiera ännu inte, eller endast delvis, genomförda åtgärder, belyses förbättringsmöjligheter för säkerheten för den aktuella informationstekniken.

Baslinjesäkerhetskontrollen ger information om åtgärder som fortfarande saknas (nominell vs. faktisk jämförelse). Av detta följer vad som återstår att göra för att uppnå baslinjeskydd genom säkerhet. Alla åtgärder som föreslås i denna baslinjekontroll behöver inte genomföras. Egenskaper är att ta hänsyn till! Det kan vara så att flera mer eller mindre oviktiga applikationer körs på en server, som har mindre skyddsbehov. I sin helhet ska dock dessa applikationer förses med en högre skyddsnivå. Detta kallas (kumulationseffekten).

Applikationerna som körs på en server avgör dess behov av skydd. Flera IT-applikationer kan köras på ett IT-system. När detta inträffar avgör applikationen med störst skyddsbehov IT-systemets skyddskategori.

Omvänt kan man tänka sig att en IT-applikation med stora skyddsbehov inte automatiskt överför detta till IT-systemet. Detta kan hända på grund av att IT-systemet är konfigurerat redundant, eller för att endast en oviktig del körs på det. Detta kallas (distributionseffekten). Så är till exempel fallet med kluster.

Baslinjesäkerhetskontrollen kartlägger grundläggande skyddsåtgärder. Denna nivå räcker för låga till medelhöga skyddsbehov. Detta utgör cirka 80 % av alla IT-system enligt BSI uppskattningar. används vanligtvis riskanalysbaserade informationssäkerhetskoncept, som till exempel ISO/IEC 27000-seriens standarder.

IT Baseline Protection Katalog och standarder

Under 2005 års omstrukturering och expansion av IT Baseline Protection Catalogs skilde BSI metodiken från IT Baseline Protection Catalog. Standarderna BSI 100-1, BSI 100-2 och BSI 100-3 innehåller information om konstruktionen av ett ledningssystem för informationssäkerhet (ISMS), metodiken eller grundläggande skyddsmetod och skapandet av en säkerhetsanalys för höga och mycket höga skyddsbehov som bygger på en genomförd grundskyddsutredning.

BSI 100-4, standarden "Emergency management" är för närvarande under förberedelse. Den innehåller element från BS 25999 , ITIL Service Continuity Management kombinerat med relevanta IT Baseline Protection Catalog-komponenter, och väsentliga aspekter för lämplig Business Continuity Management (BCM). Genom att implementera dessa standarder certifiering möjlig i enlighet med BS 25999 -2. BSI har lämnat in BSI 100-4-standarddesignen för onlinekommentarer under.

BSI anpassar sina standarder till internationella normer som ISO/IEC 27001 på detta sätt.

Litteratur

BSI : IT Baseline Protection Guidelines (pdf, 420 kB)
BSI: IT Baseline Protection Catalog 2007 (pdf)
BSI: BSI IT Security Management och IT Baseline Protection Standards
Frederik Humpert: IT-Grundschutz umsetzen mit GSTOOL. Anleitungen und Praxistipps für den erfolgreichen Einsatz des BSI-Standards , Carl Hanser Verlag München, 2005. ( ISBN 3-446-22984-1 )
Norbert Pohlmann, Hartmut Blumberg: Der IT-Sicherheitsleitfaden. Das Pflichtenheft zur Implementierung von IT-Sicherheitsstandards im Unternehmen , ISBN 3-8266-0940-9

externa länkar