Bernhard Tinner

5. September 2009

1 166 IT-Grundschutz modellieren

166 IT-Grundschutz modellieren

Zusammenfassung

Ziel des IT-Grundschutz

Ziel des IT-Grundschutzes ist, durch geeignete

Anwendung von Standard-Sicherheitsmassnahmen für die eingesetzten IT-Systeme ein Sicherheitsniveau zu errei-chen, das für normalen Schutzbedarf ange-

messen ist.

Was ist der Inhalt des Grundschutzhand-

buchs?

Das GSHB ist ein Baukastensystem aus Schich-

ten und Bausteinen.

Das GSHB strukturiert die IT-Systeme, IT-Einsatzgebiete und Empfehlungen nach dem Baukastenprinzip. Das erleichtert die Analysen und unterstützt das Auffinden vordefinierter Massnahmen.

Gliederung des IT Grundschutzhandbuchs

1) Kapitel 1 = Wegweiser durch das IT-

Grundschutzhandbuch

2) Kapitel 2 = Anwendung des IT-

Grundschutzhandbuchs

3) restliche Kapitel die Bausteine, mit deren

Hilfe das Sicherheitskonzept entwickelt und

überprüft werden kann

4) Gefährdungskataloge mit möglichen Scha-

densszenarien

5) Massnahmenkataloge mit Empfehlungen für

techn. Und org. Sicherheitsmassnahmen

6) Anhang mit ergänzenden Informationen,

Checklisten & Hilfsmitteln

Das Grundschutzhandbuch besteht aus Kata-

logen mit folgenden Bereichen

Infrastruktur

Organisation

Personal

Hard- & Software

Kommunikation

Notfallvorsorge

Der Aufbau eines IT-Grunschutzes besteht aus folgendem Vorgehen

Systemanalyse

Schutzbedarfes-Feststellung

Modellieren des Grundschutzes

Basis-Sicherheitschecks

Ergänzende Sicherheitsmassnahmen

ISO/IEC 17799

Ist eine Sammlung von Massnahmen nach dem "Best Practice"-Ansatz

IT Strukturanalyse

1. Netzplanerhebung

2. Gruppenbildung

3. Erhebung der Komponenten

4. Erhebung der Applikationen

5. Erhebung der Systeme pro Applikation

Prozess der Schutzbedarfsfeststellung

1. Festlegung der Schutzbedarfskategorien 2. Prüfen der Auswirkungen bei Verlust von Ver-

fügbarkeit, Vertraulichkeit und Integrität 3. Ableiten der Schutzbedarfs für betroffene

IT-Systeme 4. Ableitung der Kommunikationsverbindungen

(von und zu den Systemen) 5. Ableiten des Schutzbedarfs der Räume, in

welchen die Systeme betrieben werden

Grundschutzmodellierung

Jede IT-Komponente entspricht einer oder meh-reren Komponenten aus dem Grundschutzhand-buch.

Bernhard Tinner

5. September 2009

2 166 IT-Grundschutz modellieren

Basis Sicherheitscheck

Der Basis-Sicherheitscheck verglicht die emp-fohlenen mit den realisierten Sicherheits-massnahmen.

Die Abweichungen werden im Realisierungs-plan festgehalten.

Aufbau

Schutzbedarfskategorien

Kategorie Bedeutung

Normal Standard-Sicherheitsmassnahmen nach IT-Grundschutz sind im Allge-meinen ausreichend und angemes-sen.

Hoch Standard-Sicherheitsmassnahmen nach IT-Grundschutz bilden einen Basisschutz, sind aber unter um-ständen alleine nicht ausreichend. Weitergehende Massnahmen können auf Basis einer ergänzenden Si-cherheitsanalyse ermittelt werden

Sehr hoch Standard-Sicherheitsmassnahmen nach IT-Grundschutz bilden einen Basisschutz, reichen aber alleine nicht aus. Die erforderlichen zusätzlichen Sicherheitsmassnahmen müssen individuell auf der Grundlage einer ergänzenden Sicherheitsanalyse ermittelt werden.

Gesetze

Das Datenschutzgesetz hat folgende Aufga-

ben:

Datensammlungen mit:

Daten zu religiösen, weltanschaulichen, politischen und gewerkschaftlichen Aus-richtung / Tätigkeit

Gesundheitdaten

Daten zur Intimsphäre

Daten zur Rassenzugehörigkeit

Daten zu Massnamen der sozialen Hilfe

Daten zu administrativen & strafrechtlichen Verfolgungen und Sanktionen

Was ist das Strafgesetzbuch (StGB)

Gibt Hinweise über die rechtliche Verantwort-lichkeit bei der Verwendung und Aufbewahrung von Informationen und Daten (Beweisführung) Bestimmt, dass der Geschädigte nachweisen können muss, dass Schutzmassnahmen getroffen wurden und die Sorgfaltspflicht nicht verletzt wurde.

Bernhard Tinner

5. September 2009

3 166 IT-Grundschutz modellieren

Schutzmassnahmen in Bezug auf:

Begriff Bedeutung

Vertraulichkeit bedeutet, dass nur berechtigte Personen auf vertrauliche Da-ten und Informationen Zugriff haben

Verfügbarkeit Darunter versteht man z.B. die Wartezeit auf Systemfunktio-nen (responce time) oder die Datenverarbeitungs-geschwindigkeit (transaction time)

Integrität bedeutet, dass eine Informati-on vollständig, unverfälscht und korrekt sein muss.

Verbindlichkeit Verbindlichkeit bedeutet, dass eine Abmachung bzw. ein Ver-trag verbindlich sein muss.

Verbindlichkeit

Es gelten dabei folgende Aspekte:

Einhaltung der vertraglichen und gesetzli-chen Bedingungen

Anerkennung des Empfangs von Informatio-nen

Nachweisbarkeit von Kommunikationsvorgän-gen

Juristische Akzeptanz (Rechtsverbindlichkeit)

Bedrohungen

Bedro-hung

Beispiele

Höhere Gewalt

Unterbrechungsfreie Stromver-sorgung

Brandschutzeinrichtungen (inkl. Alamierung)

Aufgeräumte Rechenzentren

Klimaeinrichtungen

Men-schliches Versagen

Schulung (Sicherheit beginnt im Kopf)

Sichere Applikationsfunktionen zur Verhinderung von Fehlmani-pulationen

Umfangreiche Testszenarien

Restriktive Zugangskontrolle

Stellvertreterregelung

Tech-nisches Versagen

Vermeidung von Redundanzen

Wartungsverträge

Intensive Testszenarien und Ab-nahmeverfahren

Notfallkonzept

Vorsätzliches Han-deln

Physische Zutrittskontrollen

Zugangskontrollen (Passworter, Benutzerkennung)

Netzwerksicherheit (Firewall, Kryptologie)

Systemsicherheit (Abschalten nicht benötigter Dienste)

Bedro-hung

Beispiele

Orgnisa-torische Mängel

Konzepte

Schaffen von neuen Stellen und Funktionen innerhalb einer Or-ganisation

Zuordnung von Aufgaben und Verantwortlichkeiten

Sicherheits-Policy

Weisungen

Massnahmen gegen Bedrohungen

Bedrohung Massnahmen

der Infrastruktur

Bauliche Massnahmen

Zutrittsschutz

Überwachung

durch Personal

Schulung

Weisungen

der Organisation

Strategien

Abläufe

Konzepte

der Hard- & Software

Zugriffsverfahren

Rechtevergabe

Redundanzen

Betrieb

der Kommuni-kation

Protokolle

Kryptographie

Netzwerkdienste

der Notfallvor-sorge

Datensicherung

Notfallkonzepte

Bernhard Tinner

5. September 2009

4 166 IT-Grundschutz modellieren

Begriffe

Begriff Beschreibung

Verletzbarkeit Eine Anfälligkeit oder einen Mangel an einem Objekt.

Risiko Eine Kombination aus Verletz-barkeit und Bedrohung, be-zugnehmend auf ein bestimm-tes Objekt oder einen be-stimmten Prozess

Schaden Ein Schaden muss mit einem Geldbetrag beziffert werden können, sonst ist es kein Scha-den.

Eintrittswahr-scheinlichkeit

Die Wahrscheinlichkeit, dass ein potenzielles Ereignis ein-tritt, beruht auf mathemati-schen Berechnungen und Annahmen.

Sicherheits-massnahmen

Dienen als Abwehr oder Min-derung möglicher Schäden Sind in der Regel nicht kosten-los und müssen deshalb dem möglichen Schaden gegenüber-gestellt werden

Folgende Schadensarten sind bekannt:

Schaden Beschreibung

Direkte Schäden

an Maschinen, Programmen, Da-tenträgern, Daten etc.

Indirekte Schäden

durch Rekonstruktionsaufwand, Ersatzbeschaffung etc.

Folgekosten durch Schadenersatzforderungen, entgangene Gewinne etc.

Es wird zwischen folgenden Arten der Wahr-scheinlichkeit unterschieden:

Wahrscheinl. Beschreibung

Objektive mess- und berechenbare Wahr-scheinlichkeit

Subjektive nicht messbare und geschätzte Wahrscheinlichkeit

Objektive Unmöglichkeit

eine Wahrscheinlichkeit zu er-mitteln

Schritte einer Risikoanalyse

Schutzbedarfsfeststellung

Vorgehen:

1. Netzplan erstellen 2. Netzplan vereinfachen (Zusammenfassen) 3. IT-Systeme auflisten 4. IT Anwendungen den IT Systemen zuord-

nen 5. Schutzbedarf festlegen

Bernhard Tinner

5. September 2009

5 166 IT-Grundschutz modellieren

Netzplan (1 & 2)

Im Netzplan werden alle IT-System (Server, Clients und Netzwerkkomponeten) mit ein-ander verbunden.

Identische Systeme werden zu Gruppen zusammen gefasst.

Jedes IT-System (oder Systemgruppe) er-hält eine eindeutige Systemnummer (S1, S2, N1, C1)

Liste "Erfassen der IT-Systeme" (3)

Nummer aus Netzplan

Name der Server, Clients und Netzwerk-komponenten

Betriebssystem

Anzahl

Standort

Aktivitätsstatus

Benutzer

Liste "Zuordnung der Anwendungen zu den

Servern" (4)

Nummer A1 bis An

Anwendungsname

Enthält personenbezogene Daten

IT-Systeme mit den Nummern aus dem Netzplan

Tabelle "Schutzbedarfsfeststellung" (5)

Nummern aus Liste mit den Applikationen und aus dem Netzplan

Name der Anwendung / des Systems

Enthält Personendaten

Grundwert (Vertraulichkeit, Integrität, Verfügbarkeit)

Schutzbedarfskategorien (normal, hoch, sehr hoch)

Begründung Schutzbedarfsfeststellungen für IT-Systeme sind in der Regel von der Schutzbedarfsfest-stellung der Applikationen abhängig.

Bernhard Tinner

5. September 2009

6 166 IT-Grundschutz modellieren

Abhängigkeiten

Effekt Abhängigkeit

Maximumprinzip die höchste Bewertung gilt auch für das IT-System

Kumulationseffekt mehrere Bewertungen "Hoch" können auch zu "Sehr hoch" führen

Verteilungseffekt es können einzelne Funkti-onen auf mehrer IT-System verteilt werden

Schutzbedarf der IT Systeme

Die Massnahmen sollten auf den Schutzbedarf der Anwendung / des Systems bezug nehmen

Quellennachweis:

IT Grundschutz modellieren(166) (André Romagna) 1. Auflage 2002, Compendio Bildungsmedian AG, Zürich