Buffl
Buffl
QM 2 IBRAHIM

Das IT-Grundschutz-Kompendium Tag 6

AS
von Ali S.

Füllen Sie die folgende Tabelle aus, um die zentralen Merkmale der beiden Haupt-Typen von Bausteinen im Kompendium zu vergleichen.


  • baustein-typ: prozess-bausteine


    • fokus:

    • beispielhafte schichten: isms, orp, con


  • baustein-typ: system-bausteine


    • fokus: konkrete technische und infrastrukturelle komponenten

    • beispielhafte schichten:



Was ist das primäre Ziel der "Modellierung" im Prozess der Sicherheitskonzeption nach IT-Grundschutz?

a) Die Erstellung eines detaillierten Netzwerkplans.

b) Die Zuordnung von passenden Bausteinen aus dem Kompendium zu den eigenen IT-Systemen (Zielobjekten).

c) Die Durchführung von Interviews mit der Geschäftsführung.

d) Die Auswahl einer neuen Firewall-Hardware.


  • b) Die Zuordnung von passenden Bausteinen aus dem Kompendium zu den eigenen IT-Systemen (Zielobjekten).



Ein Unternehmen möchte die Anforderungen für den sicheren Umgang mit Personal (z.B. bei der Einstellung) nachschlagen. In welcher Schicht des Kompendiums wird es am ehesten fündig?

a) SYS (IT-Systeme)

b) NET (Netze und Kommunikation)

c) ORP (Organisation und Personal)

d) INF (Infrastruktur)

  • c) ORP (Organisation und Personal)



Was ist ein "Informationsverbund" im Sinne des BSI IT-Grundschutzes?

a) Nur die Server eines Unternehmens.

b) Nur die Netzwerkkomponenten eines Unternehmens.

c) Die Gesamtheit aller relevanten IT-Systeme, Anwendungen, Räume, Netze und Prozesse.

d) Die Sicherheitsrichtlinie eines Unternehmens.


  • c) Die Gesamtheit aller relevanten IT-Systeme, Anwendungen, Räume, Netze und Prozesse.


In welchem Schritt des Prozesses der Sicherheitskonzeption wird bestimmt, ob ein Server einen "hohen" oder "sehr hohen" Schutzbedarf hat?

a) In der Strukturanalyse.

b) In der Schutzbedarfsfeststellung.

c) In der Modellierung.

d) In der Umsetzung.

  • b) In der Schutzbedarfsfeststellung.



Ordnen Sie die folgenden Baustein-Beispiele der passenden Schicht des Kompendiums zu.

  • (SYS): Ein Server ist ein klassisches IT-System.

  • (CON): Notfallmanagement ist ein planerisches Konzept.

  • (NET): Eine Firewall ist eine Netzwerkkomponente.

  • (INF): Ein Serverraum ist Teil der physischen Infrastruktur.

  • (APP): Ein Webbrowser ist eine Anwendung.


Ein Unternehmen nimmt einen neuen, zentralen Fileserver in Betrieb, auf dem alle wichtigen Unternehmensdokumente gespeichert werden sollen. Sie als Fachinformatiker sollen diesen nach der IT-Grundschutz-Methodik absichern.

• Aufgabe:

a. Was ist Ihr allererster Schritt im Prozess der Sicherheitskonzeption (Stichwort: Strukturanalyse)?

b. Im zweiten Schritt führen Sie die Schutzbedarfsfeststellung durch. Begründen Sie kurz, warum Sie den Schutzbedarf für die Verfügbarkeit dieses Servers mindestens als "hoch" einstufen würden.

c. Nennen Sie mindestens drei verschiedene Schichten (z.B. SYS, INF, ...) aus dem Kompendium, aus denen Sie Bausteine für die Modellierung dieses Fileservers auswählen müssten.


  1. Der allererste Schritt ist die Strukturanalyse. Ich muss den neuen Fileserver als Zielobjekt formal erfassen und seine Schnittstellen und Abhängigkeiten zu anderen Systemen dokumentieren.


  1. Die Verfügbarkeit ist als "hoch" einzustufen, da auf dem Server "alle wichtigen Unternehmensdokumente" liegen. Ein Ausfall des Servers würde bedeuten, dass ein Großteil der Mitarbeiter nicht mehr arbeitsfähig ist, was zu erheblichen Betriebsunterbrechungen und finanziellen Verlusten führen würde.

  2. Man müsste Bausteine aus mindestens diesen drei Schichten auswählen:

  • SYS (IT-Systeme): z.B. für das Betriebssystem des Servers (SYS.1.1 Allgemeiner Server).

  • INF (Infrastruktur): z.B. für den physischen Standort des Servers (INF.2 Rechenzentrum sowie Serverraum).

  • OPS (Betrieb): z.B. für die regelmäßige Sicherung der Daten (OPS.1.1.3 Datensicherungskonzept).


Struktur des IT-Grundschutz-Kompendiums


Struktur des IT-Grundschutz-Kompendiums



  • Besteht aus Bausteinen, die typische Gefährdungen + Sicherheitsmaßnahmen für ein Thema beschreiben.

  • Bausteine sind in 10 thematische Schichten unterteilt:




1. Prozess-Bausteine (organisatorisch):



  • ISMS – Management und Steuerung

  • ORP – Organisation & Personal

  • CON – Planung (z. B. Notfallkonzepte)

  • OPS – Betrieb (z. B. Backups)

  • DER – Erkennung und Reaktion auf Sicherheitsvorfälle




2. System-Bausteine (technisch):



  • APP – Anwendungen (z. B. Webbrowser)

  • SYS – IT-Systeme (z. B. Server, Betriebssysteme)

  • IND – Industrielle IT (z. B. SCADA)

  • NET – Netzwerke (z. B. Firewalls)

  • INF – Infrastruktur (z. B. Serverräume)





Anwendung in der Praxis (Schritte)



  1. Strukturanalyse

    – Erfassung aller Systeme, Anwendungen, Räume usw. = Informationsverbund

  2. Schutzbedarfsfeststellung

    – Für jedes Objekt: Schutzbedarf in V, I, V → normal / hoch / sehr hoch

  3. Modellierung

    – Passende Bausteine aus dem Kompendium den Zielobjekten zuordnen

    Beispiel Webserver:


    • INF.2 Rechenzentrum

    • SYS.1.1 Allgemeiner Server

    • SYS.1.3 Server unter Linux

    • NET.1.1 Netzarchitektur

    • NET.3.2 Firewall

    • APP.3.2 Webserver



Beitreten
Vorschau

Author

Ali S.

Informationen

Zuletzt geändert

Kurs melden
© 2023 Buffl GmbH