Strukturanalyse: Unterschied zwischen den Versionen

Aus ISMS-Ratgeber WiKi
Zur Navigation springenZur Suche springen
KKeine Bearbeitungszusammenfassung
Zeile 12: Zeile 12:
== Geltungsbereich ==
== Geltungsbereich ==
Diese Strukturanalyse gilt für den im Titel benannten und im weiteren beschrieben und abgegrenzten Informationsverbund der Organisation.
Diese Strukturanalyse gilt für den im Titel benannten und im weiteren beschrieben und abgegrenzten Informationsverbund der Organisation.
Die beschrieben Regelungen sind für alle im Rahmen des definierten Informationsverbunds tätigen Mitarbeitenden verbindlich.


== Organisation ==
== Organisation ==


''Beschreibung der Organisation und ihrer Ziele, des Geschäftsverteilungsplans und der Eingruppierung des Informationsverbunds in der Organisation''
''Beschreibung der Organisation und ihrer Ziele, des Geschäftsverteilungsplans und der Eingliederung des Informationsverbunds innerhalb der Organisation.''


== Beschreibung des Informationsverbunds ==
== Beschreibung des Informationsverbunds ==
Im fiolgenden wird der Informationsverbund und seine Abgrenzung innerhalb der Organisation beschrieben:


=== Geschäftsprozesse ===
=== Geschäftsprozesse ===
Zeile 24: Zeile 27:


{| class="wikitable"
{| class="wikitable"
|+ Text der Überschrift
|+ Tabelle der Kernprozesse
|-
|-
! Kürzel !! Prozessname !! Beschreibung !! Verantwortlich
! Kürzel !! Prozessname !! Beschreibung !! Verantwortlich
Zeile 38: Zeile 41:


==== Schutzbedarf ====
==== Schutzbedarf ====
 
Der folgende Schutzbedarf wurde im Rahmen einer Schutzbedarfsfeststellung für die genannten Geschäftsprozesse ermittelt:
{| class="wikitable"
{| class="wikitable"
|+ Text der Überschrift
|+ Tabelle des Schutzbedarfs
|-
|-
! Kürzel !! Vertraulichkeit !! Integrität !! Verfügbarkeit
! Kürzel !! Vertraulichkeit !! Integrität !! Verfügbarkeit
Zeile 51: Zeile 54:
|}
|}


=== Bestandteile des Informationsverbund ===
=== Betrachtungsgegenstand des Informationsverbund ===
''Beschreibung des Informationsverbunds und seiner Bestandteile. Welche Organisationseinheiten und Anwendungen der Organisation werden mit diesem Informationsverbund betrachtet?''


''Beschreibung des Informationsverbunds und seiner Bestandteile. Welche Organisationseinheiten und Anwendungen der Organisation werden mit diesem Informationsverbund betrachtet?''
Die folgenden Komponenten sind Bestandteil und Betrachtungsgegenstand dieses Informationsberbunds:
 
* Das ISMS der Organisation
 
* ...
* ...
 
* Es sind ausschließlich Produktivsysteme und IT-Systeme mit direktem Einfluß auf die Informationssicherheit der Produktivsysteme Teils dieses Informationsverbunds.


=== Abgrenzung des Informationsverbund ===
=== Abgrenzung des Informationsverbund ===
Zeile 59: Zeile 70:
''Beschreibung der Grenzen des Informationsverbunds und der außerhalb des Verbunds liegenden Teile.Zum Beispiel:''
''Beschreibung der Grenzen des Informationsverbunds und der außerhalb des Verbunds liegenden Teile.Zum Beispiel:''


Folgende Komponenten sind nicht Bestandteil des Informationsverbunds und werden hier nicht mit betrachtet:
Folgende Komponenten sind nicht Bestandteil des Informationsverbunds und werden hier nicht betrachtet:


* Clientsysteme der Benutzer (alle nicht administrativen Clinetsysteme sind über ein Frontendserver als Schnittstelle abgegrenzt)
* Entwicklungs-, Test- und Freigabesysteme (Komponenten die ausschließlich zur Entwicklung, Test und die Freigabe dienen sind abgegrenzt)
* Clientsysteme der Benutzer (alle nicht administrativen Clientsysteme sind über ein Frontendserver abgegrenzt)
* Netzwerkinstrastruktur ausserhalb der Organisation (alle Netzwerke ausserhalb des Informationsverbunds (Internet, Fremdnetze, Bürokommunikationsnetze) werden über ein Sicherheitsgateway abgegrenzt)
* Netzwerkinstrastruktur ausserhalb der Organisation (alle Netzwerke ausserhalb des Informationsverbunds (Internet, Fremdnetze, Bürokommunikationsnetze) werden über ein Sicherheitsgateway abgegrenzt)
* Gebäudeinfrastruktur für extern betriebenes Rechenzentrum (das Rechenzentrum des Dienstleisters in dem der Informationsverbund betrieben wird, ist selbst nach BSI IT-Grundschutz zertifiziert, der Schutzbedarf entspricht dem des Informationsverbunds. Der Betrieb des Rechenzentrums wird damit abgegrenzt)  
* Gebäudeinfrastruktur für extern betriebenes Rechenzentrum (das Rechenzentrum des Dienstleisters in dem der Informationsverbund betrieben wird, ist selbst nach BSI IT-Grundschutz zertifiziert, der Schutzbedarf entspricht dem des Informationsverbunds. Der Betrieb des Rechenzentrums wird damit abgegrenzt)  
* Reine Bürokommunikationssysteme wie Telefonie, Drucker, Smartphones und Tablets sind abgegrenzt.
* ...


''Für abgegrenzte Bereiche muss die Grenze zum Informationsverbund und der Überang sowie desssen Absicherung beschrieben sein.''
''Für abgegrenzte Bereiche muss die Grenze zum Informationsverbund und der Übergang sowie desssen Absicherung beschrieben sein.''


''Werden Elemetare Bestandteile des Informationsverbunds (z.B. ein angemietetes externes Rechenzentrum) abgegrenzt, muss beschrieben sein, dass diese Teile gleichermaßem dem festgestellten Schutzbedarf des Informationsverbunds entsprechen (z.B. in Form einer eigenen Zertifizierung dieser Teile.''
''Werden Elemetare Bestandteile des Informationsverbunds (z.B. ein angemietetes externes Rechenzentrum) abgegrenzt, muss beschrieben sein, dass diese Teile gleichermaßem dem festgestellten Schutzbedarf des Informationsverbunds entsprechen (z.B. in Form einer eigenen Zertifizierung dieser Teile.''
=== Vorgehensweise ===
Die Organisation hat ein Informations-Sicherheits-Management-System (ISMS) nach BSI-Standard 200-1 etabliert.
Vorgehensweise für den vorliegenden Informationsverbund ist die Standardsabsicherung ''(alternativ: Basisabsicherung oder Kernabsicherung)'' nach BSI-Standard 200-2.


=== Verantwortliche ===
=== Verantwortliche ===
Zeile 74: Zeile 93:


==== Informationssicherheitsbeauftragter ====
==== Informationssicherheitsbeauftragter ====
Die Organisation hat einen Informationssicherheitsbeauftrauften (ISB) bestellt. Der ISB verfügt über die nötigen Kenntnisse und Ressourcen die für seine Aufgabenerfüllung benötigt werden.


==== Datenschutzbeauftragter ====
==== Datenschutzbeauftragter ====
Die Organisation hat einen eigenen Datenschutzbeauftragten (DSB) bestellt. Der DSB ist in der Entwicklung des Informationsverbunds eingebunden und bearbeitet alle Belange des Datenschutzes in einem eigenen DSMS.
Die Organisation hat einen Datenschutzbeauftragten (DSB) bestellt. Der DSB ist in der Entwicklung des Informationsverbunds eingebunden und bearbeitet alle Belange des Datenschutzes in einem eigenen DSMS.


==== Leitung Rechenzentrum ====
==== Leitung Rechenzentrum ====

Version vom 21. April 2023, 11:45 Uhr

Mustervorlage: "Strukturanalyse"

Einleitung

Die Strukturanalyse ist eine systematische Untersuchung der vorhandenen IT-Infrastruktur. Sie ist das übergreifende Rahmendokument eines Sicherheitskonzepts.

Geltungsbereich

Diese Strukturanalyse gilt für den im Titel benannten und im weiteren beschrieben und abgegrenzten Informationsverbund der Organisation.

Die beschrieben Regelungen sind für alle im Rahmen des definierten Informationsverbunds tätigen Mitarbeitenden verbindlich.

Organisation

Beschreibung der Organisation und ihrer Ziele, des Geschäftsverteilungsplans und der Eingliederung des Informationsverbunds innerhalb der Organisation.

Beschreibung des Informationsverbunds

Im fiolgenden wird der Informationsverbund und seine Abgrenzung innerhalb der Organisation beschrieben:

Geschäftsprozesse

Kernprozesse

Tabelle der Kernprozesse
Kürzel Prozessname Beschreibung Verantwortlich
Beispiel Beispiel Beispiel Beispiel
Beispiel Beispiel Beispiel Beispiel
Beispiel Beispiel Beispiel Beispiel

Hilfsprozesse

Schutzbedarf

Der folgende Schutzbedarf wurde im Rahmen einer Schutzbedarfsfeststellung für die genannten Geschäftsprozesse ermittelt:

Tabelle des Schutzbedarfs
Kürzel Vertraulichkeit Integrität Verfügbarkeit
Beispiel Beispiel Beispiel Beispiel
Beispiel Beispiel Beispiel Beispiel
Beispiel Beispiel Beispiel Beispiel

Betrachtungsgegenstand des Informationsverbund

Beschreibung des Informationsverbunds und seiner Bestandteile. Welche Organisationseinheiten und Anwendungen der Organisation werden mit diesem Informationsverbund betrachtet?

Die folgenden Komponenten sind Bestandteil und Betrachtungsgegenstand dieses Informationsberbunds:

  • Das ISMS der Organisation
  • ...
  • ...
  • Es sind ausschließlich Produktivsysteme und IT-Systeme mit direktem Einfluß auf die Informationssicherheit der Produktivsysteme Teils dieses Informationsverbunds.

Abgrenzung des Informationsverbund

Beschreibung der Grenzen des Informationsverbunds und der außerhalb des Verbunds liegenden Teile.Zum Beispiel:

Folgende Komponenten sind nicht Bestandteil des Informationsverbunds und werden hier nicht betrachtet:

  • Entwicklungs-, Test- und Freigabesysteme (Komponenten die ausschließlich zur Entwicklung, Test und die Freigabe dienen sind abgegrenzt)
  • Clientsysteme der Benutzer (alle nicht administrativen Clientsysteme sind über ein Frontendserver abgegrenzt)
  • Netzwerkinstrastruktur ausserhalb der Organisation (alle Netzwerke ausserhalb des Informationsverbunds (Internet, Fremdnetze, Bürokommunikationsnetze) werden über ein Sicherheitsgateway abgegrenzt)
  • Gebäudeinfrastruktur für extern betriebenes Rechenzentrum (das Rechenzentrum des Dienstleisters in dem der Informationsverbund betrieben wird, ist selbst nach BSI IT-Grundschutz zertifiziert, der Schutzbedarf entspricht dem des Informationsverbunds. Der Betrieb des Rechenzentrums wird damit abgegrenzt)
  • Reine Bürokommunikationssysteme wie Telefonie, Drucker, Smartphones und Tablets sind abgegrenzt.
  • ...

Für abgegrenzte Bereiche muss die Grenze zum Informationsverbund und der Übergang sowie desssen Absicherung beschrieben sein.

Werden Elemetare Bestandteile des Informationsverbunds (z.B. ein angemietetes externes Rechenzentrum) abgegrenzt, muss beschrieben sein, dass diese Teile gleichermaßem dem festgestellten Schutzbedarf des Informationsverbunds entsprechen (z.B. in Form einer eigenen Zertifizierung dieser Teile.

Vorgehensweise

Die Organisation hat ein Informations-Sicherheits-Management-System (ISMS) nach BSI-Standard 200-1 etabliert.

Vorgehensweise für den vorliegenden Informationsverbund ist die Standardsabsicherung (alternativ: Basisabsicherung oder Kernabsicherung) nach BSI-Standard 200-2.

Verantwortliche

Organisationsleitung

Informationssicherheitsbeauftragter

Die Organisation hat einen Informationssicherheitsbeauftrauften (ISB) bestellt. Der ISB verfügt über die nötigen Kenntnisse und Ressourcen die für seine Aufgabenerfüllung benötigt werden.

Datenschutzbeauftragter

Die Organisation hat einen Datenschutzbeauftragten (DSB) bestellt. Der DSB ist in der Entwicklung des Informationsverbunds eingebunden und bearbeitet alle Belange des Datenschutzes in einem eigenen DSMS.

Leitung Rechenzentrum

weitere Verantwortliche

Ggf. weitere Verantwortlich ind ihre Rollen im Informationsverbund.

Zulieferer / Dienstleister

Auflistung der Zulieferer und Dienstleister und deren Anteile im Informationsverbund:

Tabelle der Dienstleister
Kürzel Name Firma / Anschrift Beschreibung der Dienstleistung Verantwortlich

Übergreifendes Regelwerk

Leitlinie zur Informationssicherheit

Richtlinie zur Lenkung von Dokumenten und Aufzeichnungen

Richtlinie zur Risikoanalyse

Richtlinie zur internen ISMS-Auditierung

Richtlinie zur Lenkung von Korrektur- und Vorbeugungsmaßnahmen

Richtlinie Sicherheitsvorfallmanagement

Standorte

Infrastruktur

Netzplan

Komponentenlisten

Gruppierung

Die in den Komponentenlisten enthaltenden Komponenten wurden zu Zielobjekten gruppiert.

Dabei wurden Komponenten zusammengefasst, die

  • vom gleichen Typ sind,
  • gleich oder nahezu gleich konfiguriert sind,
  • gleich oder nahezu gleich in das Netz eingebunden sind,
  • gleich oder nahezu gleich administriert werden,
  • die gleichen Prozesse oder Anwendungen bedienen und
  • den gleichen Schutzbedarf aufweisen.

Die Gruppierung ist anhand der Zuordnung der Zielobjekte in den Komponentenlisten ersichtlich.

Modellierung

Die Modellierung erfolgte auf Grundlage des IT Grundschutz Kompendium in der Edition 2023.

Prozessbausteine

Die Verwendung von Prozessbaustein im Informationsverbund ist in folgender Tabelle beschrieben:

Beschreibung der Verwendung der Prozessbausteine und Begründung für nicht verwendete Bausteine

Baustein Verwendung
Sicherheitsmanagement
ISMS.1 Sicherheitsmanagement Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet.
Organisation und Personal
ORP.1 Organisation Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet.
ORP.2 Personal Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet.
ORP.3 Sensibilisierung und Schulung zur Informationssicherheit Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet.
ORP.4 Identitäts- und Berechtigungsmanagement Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet.
ORP.5 Compliance Management (Anforderungsmanagement) Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet.
Konzeption und Vorgehensweise
CON.1 Kryptokonzept Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet.
CON.2 Datenschutz Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet.
CON.3 Datensicherungskonzept Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet.
CON.6 Löschen und Vernichten Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet.
CON.7 Informationssicherheit auf Auslandsreisen Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet.
CON.8 Software-Entwicklung Entbehrlich: In der Organisation wird keine Software entwickelt. Es wird nur Standardsoftware eingesetzt. Ggf. erforderliche Spezialsoftware wird von externen Dienstleistern entwickelt.
CON.9 Informationsaustausch Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet.
CON.10 Entwicklung von Webanwendungen Entbehrlich: In der Organisation werden keine Webanwendungen entwickelt. Es wird nur Standardsoftware eingesetzt. Ggf. erforderliche Spezialanwendungen werden von externen Dienstleistern entwickelt.
Con.11.1 Geheimschutz VS-NUR FÜR DEN DIENSTGEBRAUCH (VS-NfD) Entbehrlich: Die Organisation verarbeitet keine geheimschutzrelevanten Informationen.
Betrieb
OPS.1.1.1 Allgemeiner IT-Betrieb Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet.
OPS.1.1.2 Ordnungsgemäße IT-Administration Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet.
OPS.1.1.3 Patch- und Änderungsmanagement Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet.
OPS.1.1.4 Schutz vor Schadprogrammen Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet.
OPS.1.1.5 Protokollierung Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet.
OPS.1.1.6 Software-Tests und -Freigaben Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet.
OPS.1.1.7 Systemmanagement Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet.
OPS.1.2.2 Archivierung Entbehrlich: Archivierung wird in der Organisation nicht genutzt da es keine rechtlichen Anforderungen gibt.
OPS.1.2.4 Telearbeit Entbehrlich: Telearbeit wird in der Organisation nicht genutzt. Gelegentliches Homeoffice wird über den Baustein INF.9 "Mobiler Arbeitsplatz" abgedeckt.
OPS.1.2.5 Fernwartung Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet.
OPS.1.2.6 NTP -Zeitsynchronisation Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet.
OPS.2.2 Cloud-Nutzung Entbehrlich: Clouddienste werden in der Organisation nicht genutzt.
OPS.2.3 Nutzung von Outsourcing Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet.
OPS.3.2 Anbieten von Outsourcing Entbehrlich: Die Organisation bietet selbst kein Outsourcing an.
Detektion und Reaktion
DER.1 Detektion von sicherheitsrelevanten Ereignissen Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet.
DER.2.1 Behandlung von Sicherheitsvorfällen Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet.
DER.2.2 Vorsorge für die IT-Forensik Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet.
DER.2.3 Bereinigung weitreichender Sicherheitsvorfälle Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet.
DER.3.1 Audits und Revisionen Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet.
DER.3.2 Revision auf Basis des Leitfadens IS-Revision Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet.
DER.4 Notfallmanagement Der Baustein ist einmalig übergreifend für die gesamte Organisation bearbeitet.

Systembausteine

Die Modellierung der Systembausteine ist in der Anlage dokumentiert.

Verweis auf Modellierungsdokumentation im ISMS-Tool bzw. anderer Quellen.

Benutzerdefinierste Bausteine

Beschreibung benutzerdefinierter Bausteine falls vorhanden und modelliert.

ansonsten:

Die Infrastruktur der Organisation ist vollständig mit den Bausteinen des Kompendium modellierbar.
Es werden keine benutzerdefinierten Bausteine genutzt.