Skip to content
Snippets Groups Projects
Verified Commit 8d6eadfb authored by abrahas55's avatar abrahas55
Browse files

Alle Bausteine der Modellierung

parent acdd1f7e
No related branches found
No related tags found
No related merge requests found
Hide whitespace changes
Inline Side-by-side
3_modellierung.tex
+ 62
120
View file @ 8d6eadfb
% !TeX encoding = UTF-8
\section{Modellierung nach IT-Grundschutz}
Tabelle: Baustein | wird betrachtet | wird nicht betrachtet | begründung
-> das wird hier eher keine tabelle sondern fließtext? aber zumindest am anfang
für die übersicht könnte man ne tabelle bauen
Ich orientiere mich bei den Bausteinen streng an die Edition 2023. Jene
Bausteine, die dort nicht mehr aufgeführt sind sehe ich als veraltet an. Daher
kommen die eventuell fehlenden Nummern.
......@@ -16,14 +11,27 @@ auf die entsprechenden Zielobjekte bzw. Gruppen anzuwenden.
Im Grundschutz ist es vorgesehen, dass es Zielobjekte geben kann, die mit den
bestehenden Bausteinen nicht abgebildet werden können. Für diesen Fall muss eine
Risikoanalyse durchgeführt werden. [Grundschutz-Kompendium 2023, S.26]
Risikoanalyse durchgeführt werden.~\cite{bsi-200-3}
Grundsätzlich sind beim Einsatz des Grundschutzes nicht alle Bausteine nötig.
Die Wahl der anzuwendenden Bausteine ist abhängig von der Ausprägung des
Informationsverbundes und der eingesetzten Methoden und Technologien. Für die
bessere Übersicht befindet sich eine Tabelle im
Anhang~\ref{modellierung_matrix}. Einige Bausteine, z.~B.~ \textit{ISMS.1}, sind
so wichtige Bausteine, dass sie im Prinzip angewandt werden (können), unabhängig
davon, wie der konkrete Informationsverbund aufgebaut ist. Diese habe ich zur
einfachen Erkennung als \textit{MUSS} markiert. Im Regelfall sind diese
Bausteine immer anzuwenden und somit ergibt sich keine weitere Diskussion zur
Notwendigkeit (von einigen Ausnahmen abgesehen, siehe dazu unten).
\subsection{Sicherheitsmanagement ISMS.1}
Spannend sind die Bausteine, die über die \enquote{Basis-IT} hinaus abdecken.
Hauptsächlich Institutsleitung, vieles davon wird gerade durch mich erledigt?
% TODO Zu den betrachteten Bausteinen kurz etwas schreiben, allerdings ist
% vieles davon auch nicht so relevant für diese Arbeit, da gerade die
% MUSS-Bausteine einfach nur eine Reihe an Anforderungen definieren.
% Spannender ist definitiv die Frage, was vom Informationsverbund 'Cluster'
% davon eben NICHT abgedeckt wird.
Wird aber offensichtlich betrachtet.
\subsection{Organisation und Personal (ORP)}
Diese Bausteine müssen mindestens einmal angewandt werden. Es reicht hier
......@@ -40,124 +48,58 @@ ORP.5 Compliance Management
\subsection{Konzepte und Vorgehensweisen (CON)}
CON.1 Kryptokonzept
CON.2 Datenschutz
CON.3 Datensicherungskonzept
CON.6 Löschen und Vernichten
CON.7 Informationssicherheit auf Auslandsreisen
CON.8 Software-Entwicklung
CON.9 Informationsaustausch
CON.10 Entwicklung von Webanwendungen
CON.11.1 Geheimschutz VS-NUR FÜR DEN DIENSTGEBRAUCH (VS-NfD)
\subsubsection{CON.7 Informationssicherheit auf Auslandsreisen}
Berufliche Auslandsreisen sind in unserem Beispielsystem nicht vorgesehen,
sofern sich dies bei dem betrachteten Verbund ändert muss natürlich auch der
Baustein entsprechend behandelt werden.
\subsubsection{CON.8 Software-Entwicklung}
Oft liest man in den Veröffentlichungen zum Thema Cluster auch die Anstrengungen
der jeweiligen Systemverantwortlichen, Software auf die speziellen Bedürfnisse
anzupassen. Somit sollte dieser Baustein zumindest mitbedacht werden, auch wenn
er vielleicht nicht in vollem Maße umzusetzen ist.
\subsubsection{CON.10 Entwicklung von Webanwendungen}
Analog zu CON.8, jedoch ist dieser Baustein für den betrachteten Cluster nicht
relevant und wird somit nicht betrachtet.
\subsection{Betrieb (OPS)}
OPS.1.1.1 Allgemeiner IT-Betrieb
OPS.1.1.2 Ordnungsgemäße IT-Administration
OPS.1.1.3 Patch- und Änderungsmanagement
OPS.1.1.4 Schutz vor Schadprogrammen
OPS.1.1.5 Protokollierung
OPS.1.1.6 Software-Tests und --Freigaben
OPS.1.1.7 Systemmanagement
OPS.1.2.2 Archivierung
OPS.1.2.4 Telearbeit
OPS.1.2.5 Fernwartung
OPS.1.2.6 NTP-Zeitsynchronisation
OPS.2.2 Cloud-Nutzung
OPS.2.3 Nutzung von Outsourcing
OPS.3.2 Anbieten von Outsourcing
\subsection{Detektion und Reaktion (DER)}
DER.1 Detektion von sicherheitsrelevanten Ereignissen
DER.2.1 Behandlung von Sicherheitsvorfällen
DER.2.2 Vorsorge für die IT-Forensik
DER.2.3 Bereinigung weitreichender Sicherheitsvorfälle
DER 3.1 Audits und Revisionen
DER 3.2 Revision auf Basis des Leitfadens IS-Revision
DER.4 Notfallmanagement
\subsection{Anwendungen (APP)}
APP.1.1 Office-Produkte
APP.1.2 Web-Browser
APP.1.4 Mobile Anwendung (Apps)
APP.2.1 Allgemeiner Verzeichnisdienst
APP.2.2 Active Directory Domain Services
APP.2.3 OpenLDAP
APP.3.1 Webanwendungen und Webservices
APP.3.2 Webserver
APP.3.3 Fileserver
APP.3.4 Samba
APP.3.6 DNS-Server
APP.4.2 SAP-ERP-System
APP.4.3 Relationale Datenbanksysteme
APP.4.4 Kubernetes
APP.4.6 SAP ABAP-Programmierung
APP.5.2 Microsoft Exchange und Outlook
APP.5.3 Allgemeiner E-Mail-Client und -Server
APP.5.4 Unified Communications und Collaboration
APP.6 Allgemeine Software
APP.7 Entwicklung von Individualsoftware
\subsection{IT-Systeme (SYS)}
SYS.1.1 Allgemeiner Server
SYS.1.2.2 Windows Server 2012
SYS.1.2.3 Windows Server
SYS.1.3 Server unter Linux und UNIX
SYS.1.5 Virtualisierung
SYS.1.6 Containerisierung
SYS.1.7 IBM Z
SYS.1.8 Speicherlösungen
SYS.1.9 Terminalserver
SYS.2.1 Allgemeiner Client
SYS.2.2.3 Clients unter Windows
SYS.2.3 Clients unter Linux und UNIX
SYS.2.4 Clients unter macOS
SYS.2.5 Client-Virtualisierung
SYS.2.6 Virtual Desktop Infrastructure
SYS.3.1 Laptops
SYS.3.2.1 Allgemeine Smartphones und Tablets
SYS.3.2.2 Mobile Device Management (MDM)
SYS.3.2.3 iOS (for Enterprise)
SYS.3.2.4 Android
SYS.3.3 Mobiltelefon
SYS.4.1 Drucker, Kopierer und Multifunktionsgeräte
SYS.4.3 Eingebettete Systeme
SYS.4.4 Allgemeines IoT-Gerät
SYS.4.5 Wechseldatenträger
\subsubsection{OPS.1.1.7 Systemmanagement}
\subsection{Industrielle IT (IND)}
Eventuell doch nicht relevant für uns, muss man sich konkret anschauen was im
Baustein passiert.
Bausteine dieser Schicht sind insgesamt auf den Verbund nicht anwendbar.
\subsubsection{OPS.1.2.2 Archivierung}
\subsection{Netze und Kommunikation (NET)}
Zu archivierende Daten könnten die Forschungsergebnisse oder Eingabedaten sein.
Diese im Rahmen des Clusters zu speichern ermöglicht jedoch keinen wirklichen
Mehrwert und wird deshalb nicht betrachtet.
NET.1.1 Netzarchitektur und -design
NET.1.2 Netzmanagement
NET.2.1 WLAN-Betrieb
NET.2.2 WLAN-Nutzung
NET.3.1 Router und Switches
NET.3.2 Firewall
NET.3.3 VPN
NET.3.4 Network Access Control
NET.4.1 TK-Anlagen
NET.4.2 VoIP
NET.4.3 Faxgeräte und Faxserver
\subsubsection{OPS.1.2.5 Fernwartung}
\subsection{Infrastruktur (INF)}
Die Fernwartung bezieht sich auf die Administration eines IT-Systems
\enquote{aus der Ferne}. Da dies aber so allgemein gefasst ist und die
Anforderungen aus dem Baustein sich vor allem auf die Administration von
Client-Systemen beziehen, wird dieser Baustein nicht betrachtet.
\subsubsection{OPS2.3 und OPS.3.2 Outsourcing}
In unserem Beispiel besteht kein Fall von Outsourcing, weder in der Nutzung,
noch im Angebot. Es ist jedoch durchaus üblich, dass Supercomputer-Infrastruktur
für mehrere Nutzende verwaltet wird, z.\~T.\~ auch als Service. In diesem Fall
sollte dieser Baustein dementsprechend auch angewandt werden.
\subsection{Industrielle IT (IND)}
Bausteine dieser Schicht sind insgesamt auf den Verbund nicht anwendbar.
INF.1 Allgemeines Gebäude
INF.2 Rechenzentrum sowie Serverraum
INF.5 Raum sowie Schrank für technische Infrastruktur
INF.6 Datenträgerarchiv
INF.7 Büroarbeitsplatz
INF.8 Häuslicher Arbeitsplatz
INF.9 Mobiler Arbeitsplatz
INF.10 Besprechungs-, Veranstaltungs- und Schulungsräume
INF.11 Allgemeines Fahrzeug
INF.12 Verkabelung
INF.13 Technisches Gebäudemanagement
INF.14 Gebäudeautomation
\subsection{Infrastruktur (INF)}
Diese Bausteine sind grundsätzlich auch für ein HPC-System von Relevanz. Sie
sollten definitiv in einem Grundschutzkonzept beachtet werden, allerdings
befindet sich unser betrachteter Verbund im Kontext der ZEDAT. Somit werden alle
Fragen der Infrastruktur dort behandelt und hier als umgesetzt betrachtet.
appendix/tables/modellierung.tex
+ 55
63
View file @ 8d6eadfb
......@@ -4,58 +4,58 @@
\hline
\textbf{Baustein} & \textbf{wird betrachtet} & \textbf{Grund} \\
\hline
ISMS.1 & \texttimes & MUSS-Baustein \\
ISMS.1 & \texttimes & MUSS \\
\hline
ORP.1 & \texttimes & MUSS-Baustein \\
ORP.2 & \texttimes & MUSS-Baustein \\
ORP.3 & \texttimes & MUSS-Baustein \\
ORP.4 & \texttimes & MUSS-Baustein \\
ORP.5 & \texttimes & MUSS-Baustein \\
ORP.1 & \texttimes & MUSS \\
ORP.2 & \texttimes & MUSS \\
ORP.3 & \texttimes & MUSS \\
ORP.4 & \texttimes & MUSS \\
ORP.5 & \texttimes & MUSS \\
\hline
CON.1 & \texttimes & MUSS-Baustein \\
CON.2 & \texttimes & MUSS-Baustein \\
CON.3 & \texttimes & MUSS-Baustein \\
CON.6 & \texttimes & MUSS-Baustein \\
CON.1 & \texttimes & MUSS \\
CON.2 & \texttimes & MUSS \\
CON.3 & \texttimes & MUSS \\
CON.6 & \texttimes & MUSS \\
CON.7 & & keine beruflichen Auslandsreisen \\
CON.8 & \texttimes & passiert häufig im Rahmen der Administration \\
CON.9 & \texttimes & MUSS-Baustein \\
CON.9 & \texttimes & MUSS \\
CON.10 & & keine Notwendigkeit für diese Art der Entwicklung \\
CON.11.1 & & Für unser Cluster nicht relevant \\
\hline
OPS.1.1.1 & \texttimes & MUSS-Baustein \\
OPS.1.1.2 & \texttimes & MUSS-Baustein \\
OPS.1.1.3 & \texttimes & MUSS-Baustein \\
OPS.1.1.4 & \texttimes & MUSS-Baustein \\
OPS.1.1.5 & \texttimes & MUSS-Baustein \\
OPS.1.1.6 & \texttimes & MUSS-Baustein \\
OPS.1.1.7 & \texttimes & MUSS-Baustein \\
OPS.1.2.2 & & \\
OPS.1.2.4 & & \\
OPS.1.2.5 & & \\
OPS.1.2.6 & & \\
OPS.2.2 & & \\
OPS.2.3 & & \\
OPS.3.2 & & \\
OPS.1.1.1 & \texttimes & MUSS \\
OPS.1.1.2 & \texttimes & MUSS \\
OPS.1.1.3 & \texttimes & MUSS \\
OPS.1.1.4 & \texttimes & MUSS \\
OPS.1.1.5 & \texttimes & MUSS \\
OPS.1.1.6 & \texttimes & MUSS \\
OPS.1.1.7 & \texttimes & MUSS \\
OPS.1.2.2 & & keine Archivierung nötig \\
OPS.1.2.4 & & ist Teil des übergeordneten ZEDAT-Konzeptes \\
OPS.1.2.5 & & kommt nicht im Verbund vor \\
OPS.1.2.6 & \texttimes & MUSS \\
OPS.2.2 & & keine Cloud-Nutzung \\
OPS.2.3 & & kein Outsourcing \\
OPS.3.2 & & potentiell interessant, allerdings nicht für unseren Fall \\
\hline \\
DER.1 & & \\
DER.2.1 & & \\
DER.2.2 & & \\
DER.2.3 & & \\
DER 3.1 & & \\
DER 3.2 & & \\
DER.4 & & \\
DER.1 & \texttimes & MUSS \\
DER.2.1 & \texttimes & MUSS \\
DER.2.2 & \texttimes & MUSS \\
DER.2.3 & & nur nach einem APT anzuwenden \\
DER 3.1 & \texttimes & MUSS \\
DER 3.2 & & keine Revisionen \\
DER.4 & \texttimes & MUSS \\
\hline
APP.1.1 & & \\
APP.1.2 & & \\
APP.1.4 & & \\
APP.2.1 & & \\
APP.2.1 & & Teil des ZEDAT-Konzeptes, potentiell aber interessant \\
APP.2.2 & & \\
APP.2.3 & & \\
APP.3.1 & & \\
APP.3.2 & & \\
APP.3.3 & & \\
APP.3.3 & \texttimes & Eingabe- und Ausgabesystem für Nutzende \\
APP.3.4 & & \\
APP.3.6 & & \\
APP.3.6 & & unser System benötigt keine DNS-Auflösung \\
APP.4.2 & & \\
APP.4.3 & & \\
APP.4.4 & & \\
......@@ -63,19 +63,20 @@
APP.5.2 & & \\
APP.5.3 & & \\
APP.5.4 & & \\
APP.6 & & \\
APP.7 & & \\
APP.6 & \texttimes & Anwendung auf Forschungssoftware und die eingangs
erwähnte Administrationssoftware \\
APP.7 & & potentiell relevant, jedoch nicht für unser Beispiel \\
\hline
SYS.1.1 & & \\
SYS.1.1 & \texttimes & \\
SYS.1.2.2 & & \\
SYS.1.2.3 & & \\
SYS.1.3 & & \\
SYS.1.3 & \texttimes & \\
SYS.1.5 & & \\
SYS.1.6 & & \\
SYS.1.7 & & \\
SYS.1.8 & & \\
SYS.1.9 & & \\
SYS.2.1 & & \\
SYS.1.8 & \texttimes & Anwendung auf den Storage-Cluster \\
SYS.1.9 & \texttimes & Zumindest teilweise, Clients sind nicht betrachtet \\
SYS.2.1 & & keine Clients im Verbund \\
SYS.2.2.3 & & \\
SYS.2.3 & & \\
SYS.2.4 & & \\
......@@ -94,28 +95,19 @@
\hline
IND & & insgesamt nicht anzuwenden \\
\hline
NET.1.1 & & \\
NET.1.2 & & \\
NET.1.1 & \texttimes & MUSS \\
NET.1.2 & \texttimes & MUSS \\
NET.2.1 & & \\
NET.2.2 & & \\
NET.3.1 & & \\
NET.3.2 & & \\
NET.3.3 & & \\
NET.3.4 & & \\
NET.4.1 & & \\
NET.4.2 & & \\
NET.4.3 & & \\
NET.3.1 & \texttimes & vermutlich nicht komplett anwendbar, aber zumindest
für den Netzwerk-Stack \\
NET.3.2 & \texttimes & analog zu routern und switches \\
NET.3.3 & & ZEDAT \\
NET.3.4 & & NAC findet keine Anwendung \\
NET.4.1 & & Es gibt keine Telefone im Verbund \\
NET.4.2 & & kein VoIP \\
NET.4.3 & & Es gibt kein Fax im Verbund \\
\hline
INF.1 & & \\
INF.2 & & \\
INF.5 & & \\
INF.6 & & \\
INF.7 & & \\
INF.8 & & \\
INF.9 & & \\
INF.10 & & \\
INF.11 & & \\
INF.12 & & \\
INF.13 & & \\
INF.14 & & \\
INF & & Grundsätzlich zu beachten, im Rahmen des Beispiels wird dies aber
durch das Konzept der ZEDAT geregelt \\
\end{longtable}
bibliography.bib
+ 6
0
View file @ 8d6eadfb
......@@ -82,3 +82,9 @@
month = {8}
}
@online{bsi-200-3,
title = {BSI Risikomanagement},
author = {BSI},
url = {https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/BSI-Standards/BSI-Standard-200-3-Risikomanagement/bsi-standard-200-3-risikomanagement_node.html},
}
thesis.pdf
+ 0
0
View file @ 8d6eadfb
No preview for this file type
0% or .
You are about to add 0 people to the discussion. Proceed with caution.
Finish editing this message first!
Please register or to comment