Podstawowa ochrona IT

Podejście do podstawowej ochrony IT ( niem . IT-Grundschutz ) opracowane przez niemiecki Federalny Urząd ds. Bezpieczeństwa Informacji (BSI) to metodologia identyfikacji i wdrażania środków bezpieczeństwa komputerowego w organizacji. Celem jest osiągnięcie adekwatnego i właściwego poziomu bezpieczeństwa systemów informatycznych. Aby osiągnąć ten cel, BSI zaleca „dobrze sprawdzone zabezpieczenia techniczne, organizacyjne, kadrowe i infrastrukturalne”. Organizacje i agencje federalne wykazują swoje systematyczne podejście do zabezpieczania swoich systemów informatycznych (np. System Zarządzania Bezpieczeństwem Informacji), uzyskując certyfikat Certyfikat ISO/IEC 27001 na podstawie IT-Grundschutz .

Przegląd podstawowych zabezpieczeń

Termin bezpieczeństwo bazowe oznacza standardowe środki bezpieczeństwa dla typowych systemów informatycznych. Jest używany w różnych kontekstach z nieco innymi znaczeniami. Na przykład:

• Microsoft Baseline Security Analyzer : Narzędzie programowe skoncentrowane na bezpieczeństwie systemu operacyjnego i usług firmy Microsoft
• Punkt odniesienia bezpieczeństwa Cisco : rekomendacja dostawcy koncentruje się na kontrolach bezpieczeństwa sieci i urządzeń sieciowych
• Podstawowe zabezpieczenia firmy Nortel : zestaw wymagań i najlepszych praktyk ze szczególnym uwzględnieniem operatorów sieci
• Norma ISO/IEC 13335-3 określa podstawowe podejście do zarządzania ryzykiem. Ten standard został zastąpiony przez ISO/IEC 27005 , ale podejście bazowe nie zostało jeszcze przejęte w serii 2700x.
• Istnieje wiele wewnętrznych podstawowych zasad bezpieczeństwa dla organizacji,
• Niemiecki BSI ma kompleksowy podstawowy standard bezpieczeństwa, który jest zgodny z serią ISO/IEC 27000

Podstawowa ochrona BSI IT

Podstawą koncepcji podstawowej ochrony IT nie jest początkowo szczegółowa analiza ryzyka. Wynika to z ogólnych zagrożeń. W konsekwencji ignorowana jest wyrafinowana klasyfikacja według rozmiaru uszkodzeń i prawdopodobieństwa ich wystąpienia. Ustanowiono trzy kategorie potrzeb w zakresie ochrony. Za ich pomocą można określić potrzeby ochronne badanego obiektu. Na ich podstawie dobierane są odpowiednie środki bezpieczeństwa osobowego, technicznego, organizacyjnego i infrastrukturalnego z Katalogów Podstawowej Ochrony Informatycznej.

Urzędu ds. Bezpieczeństwa w Technologii Informatycznych oferują „przepis z książki kucharskiej” na normalny poziom ochrony. Oprócz prawdopodobieństwa wystąpienia i potencjalnego zasięgu szkód, uwzględnia się również koszty wdrożenia. Korzystając z katalogów ochrony bazowej, można zrezygnować z kosztownych analiz bezpieczeństwa wymagających wiedzy eksperckiej, ponieważ na początku opracowuje się ogólne zagrożenia. Względny laik może określić środki, które należy podjąć i wdrożyć je we współpracy z profesjonalistami.

BSI przyznaje certyfikat ochrony podstawowej jako potwierdzenie pomyślnego wdrożenia ochrony podstawowej. Na etapach 1 i 2 opiera się to na deklaracji własnej. Na etapie 3 niezależny audytor z licencją BSI przeprowadza audyt. Umiędzynarodowienie procesu certyfikacji jest możliwe od 2006 roku. ISO/IEC 27001 może odbywać się jednocześnie z certyfikacją IT Baseline Protection. (Norma ISO/IEC 27001 jest następcą normy BS 7799-2 ). Proces ten opiera się na nowych standardach bezpieczeństwa BSI. Proces ten ma swoją cenę rozwoju, która panuje od pewnego czasu. Korporacje posiadające certyfikację zgodnie z BS 7799-2 są zobowiązane do przeprowadzenia oceny ryzyka . Aby było wygodniej, większość odbiega od analizy potrzeb w zakresie ochrony zgodnie z katalogami IT Baseline Protection Catalogs. Zaletą jest nie tylko zgodność z restrykcyjnymi normami BSI , ale również uzyskanie certyfikatu BS 7799-2 . Poza tym BSI oferuje kilka pomocy, takich jak szablon polisy i GSTOOL.

jeden komponent ochrony danych , który został opracowany we współpracy z niemieckim Federalnym Komisarzem ds. Ochrony Danych i Wolności Informacji oraz krajowymi organami ochrony danych i zintegrowany z katalogiem IT Baseline Protection Catalog. Element ten nie jest jednak brany pod uwagę w procesie certyfikacji.

Podstawowy proces ochrony

Następujące kroki są podejmowane zgodnie z podstawowym procesem ochrony podczas analizy konstrukcji i analizy potrzeb ochrony :

• Sieć IT jest zdefiniowana.
• Przeprowadzana jest analiza struktury IT.
• Przeprowadzane jest określanie potrzeb ochronnych.
• Przeprowadzana jest podstawowa kontrola bezpieczeństwa.
• Wdrażane są podstawowe środki ochrony IT.

Tworzenie odbywa się w następujących krokach:

• Analiza struktury IT (ankieta)
• Ocena potrzeb ochronnych
• Wybór działań
• Bieżące porównanie wartości nominalnej i rzeczywistej.

Analiza struktury IT

Sieć informatyczna obejmuje całość elementów infrastrukturalnych , organizacyjnych, personalnych i technicznych służących realizacji zadania w określonym obszarze zastosowań przetwarzania informacji . Sieć informatyczna może w ten sposób obejmować cały charakter informatyczny instytucji lub pojedynczego oddziału, który jest podzielony według struktur organizacyjnych, jak na przykład sieć wydziałowa lub jako współużytkowane aplikacje informatyczne , na przykład system informacji o personelu. Niezbędne jest przeanalizowanie i udokumentowanie przedmiotowej struktury informatycznej w celu wygenerowania koncepcji bezpieczeństwa IT, aw szczególności zastosowanie Katalogów Podstawowej Ochrony Informatycznej. Ze względu na dzisiejsze systemy IT, zwykle silnie połączone w sieć, plan topologii sieci stanowi punkt wyjścia do analizy. Należy wziąć pod uwagę następujące aspekty:

• Dostępna infrastruktura ,
• Ramy organizacyjne i kadrowe dla sieci informatycznej,
• Sieciowe i niesieciowe systemy informatyczne stosowane w sieci informatycznej.
• Połączenia komunikacyjne między systemami informatycznymi i zewnętrznymi,
• Aplikacje informatyczne działają w sieci informatycznej.

Ochrona wymaga determinacji

Celem określenia potrzeb ochrony jest zbadanie, jaka ochrona jest wystarczająca i odpowiednia dla używanych informacji i technologii informatycznych. W związku z tym rozpatrywana jest szkoda każdej aplikacji i przetwarzanych informacji, która mogłaby wyniknąć z naruszenia poufności, integralności lub dostępności. Ważna w tym kontekście jest realistyczna ocena ewentualnych szkód następczych. Cenny okazał się podział na trzy kategorie potrzeb w zakresie ochrony: „niski do średniego”, „wysoki” i „bardzo wysoki”. Określenia „publiczne”, „wewnętrzne” i „tajne” są często używane w odniesieniu do poufności.

Modelowanie

Silnie połączone w sieć systemy IT są obecnie typową cechą technologii informacyjnej w rządzie i biznesie. Z reguły zatem korzystne jest uwzględnienie w analizie i koncepcji bezpieczeństwa IT całego systemu informatycznego, a nie tylko poszczególnych systemów. Aby móc poradzić sobie z tym zadaniem, sensowne jest logiczne podzielenie całego systemu IT na części i oddzielne rozważenie każdej części, a nawet sieci IT. Szczegółowa dokumentacja dotycząca jego struktury jest warunkiem koniecznym do korzystania z IT Baseline Protection Catalogs w sieci IT. Można to osiągnąć na przykład poprzez opisaną powyżej analizę struktury IT. Komponenty IT Baseline Protection Catalog muszą ostatecznie zostać zmapowane na komponenty danej sieci IT na etapie modelowania.

Podstawowa kontrola bezpieczeństwa

Podstawowa kontrola bezpieczeństwa jest instrumentem organizacyjnym oferującym szybki przegląd dominującego poziomu bezpieczeństwa IT. Za pomocą wywiadów badany jest status quo istniejącej sieci IT (zgodnie z modelem podstawowej ochrony IT) w odniesieniu do liczby środków bezpieczeństwa wdrożonych z Katalogów podstawowej ochrony IT. Wynikiem jest katalog, w którym dla każdego istotnego działania wpisywany jest status realizacji „zbędny”, „tak”, „częściowo” lub „nie”. Identyfikując jeszcze nie wdrożone lub tylko częściowo wdrożone środki, podkreśla się możliwości poprawy bezpieczeństwa przedmiotowej technologii informacyjnej.

Podstawowa kontrola bezpieczeństwa dostarcza informacji o środkach, których wciąż brakuje (porównanie nominalne vs. rzeczywiste). Wynika z tego, co pozostaje do zrobienia, aby osiągnąć podstawową ochronę poprzez bezpieczeństwo. Nie wszystkie środki zasugerowane w ramach tej kontroli odniesienia muszą zostać wdrożone. Należy wziąć pod uwagę specyfikę! Może się zdarzyć, że na serwerze działa kilka mniej lub bardziej nieistotnych aplikacji, które mają mniejsze potrzeby w zakresie ochrony. W całości jednak aplikacje te mają mieć zapewniony wyższy poziom ochrony. Nazywa się to (efektem kumulacji).

Aplikacje działające na serwerze określają jego potrzebę ochrony. W systemie informatycznym może działać kilka aplikacji informatycznych. W takim przypadku aplikacja, która najbardziej potrzebuje ochrony, określa kategorię ochrony systemu informatycznego.

I odwrotnie, można sobie wyobrazić, że aplikacja informatyczna o dużych potrzebach w zakresie ochrony nie przenosi ich automatycznie do systemu informatycznego. Może się tak zdarzyć, ponieważ system informatyczny jest skonfigurowany w sposób nadmiarowy lub działa na nim tylko nieistotna część. Nazywa się to (efektem dystrybucji). Tak jest na przykład w przypadku klastrów.

Podstawowa kontrola bezpieczeństwa odwzorowuje podstawowe środki ochrony. Ten poziom jest wystarczający dla potrzeb ochrony od niskich do średnich. Stanowi to około 80% wszystkich systemów informatycznych według szacunków BSI. zwykle stosuje się koncepcje bezpieczeństwa informacji oparte na analizie ryzyka, takie jak na przykład normy serii ISO/IEC 27000 .

IT Baseline Protection Katalog i standardy

Podczas restrukturyzacji i rozbudowy katalogów podstawowej ochrony IT w 2005 r. BSI oddzieliło metodologię od podstawowego katalogu ochrony IT. Standardy BSI 100-1, BSI 100-2, BSI 100-3 zawierają informacje o budowie systemu zarządzania bezpieczeństwem informacji (SZBI), metodologii lub podstawowym podejściu do ochrony oraz tworzeniu analizy bezpieczeństwa dla podwyższonych i bardzo podwyższonych potrzeby ochrony w oparciu o zakończone podstawowe dochodzenie w sprawie ochrony.

BSI 100-4, standard „zarządzania kryzysowego”, jest obecnie w przygotowaniu. Zawiera elementy z BS 25999 , ITIL Service Continuity Management w połączeniu z odpowiednimi komponentami IT Baseline Protection Catalog oraz podstawowe aspekty odpowiedniego Business Continuity Management (BCM). Wdrożenie tych standardów umożliwia certyfikację zgodnie z BS 25999-2 . BSI przedłożyło projekt standardów BSI 100-4 do komentowania online pod.

BSI dostosowuje swoje standardy do międzynarodowych norm, takich jak ISO/IEC 27001 .

Literatura

• BSI : Podstawowe wytyczne dotyczące ochrony IT (pdf, 420 kB)
• BSI: katalog podstawowej ochrony IT 2007 (pdf)
• BSI: Zarządzanie bezpieczeństwem IT BSI i podstawowe standardy ochrony IT
•   Frederik Humpert: IT-Grundschutz umsetzen mit GSTOOL. Anleitungen und Praxistipps für den erfolgreichen Einsatz des BSI-Standards , Carl Hanser Verlag München, 2005. ( ISBN 3-446-22984-1 )
•   Norbert Pohlmann, Hartmut Blumberg: Der IT-Sicherheitsleitfaden. Das Pflichtenheft zur Implementierung von IT-Sicherheitsstandards im Unternehmen , ISBN 3-8266-0940-9

Linki zewnętrzne

• Federalny Urząd Bezpieczeństwa Informacji
• Żółte strony bezpieczeństwa IT
• Podstawowe narzędzia ochrony IT
• Otwarta architektura bezpieczeństwa — kontrole i wzorce do zabezpieczania systemów IT