BT temel koruması - IT baseline protection

BT temel koruması (Almanca: IT-Grundschutz) Alman yaklaşımı Federal Bilgi Güvenliği Dairesi (BSI), bir organizasyonda bilgisayar güvenlik önlemlerini belirlemek ve uygulamak için bir metodolojidir. Amaç, BT sistemleri için yeterli ve uygun bir güvenlik düzeyine ulaşmaktır. Bu hedefe ulaşmak için BSI, "kanıtlanmış teknik, organizasyonel, personel ve altyapısal korumaları" tavsiye eder.^[1] Kuruluşlar ve federal kurumlar, BT sistemlerini (ör. Bilgi Güvenliği Yönetim Sistemi ) elde ederek IT-Grundschutz temelinde ISO / IEC 27001 Sertifikası.

Temel güvenliğe genel bakış

Temel güvenlik terimi, tipik BT sistemleri için standart güvenlik önlemlerini ifade eder. Biraz farklı anlamlarla çeşitli bağlamlarda kullanılır. Örneğin:

Microsoft Baseline Security Analyzer: Microsoft işletim sistemi ve hizmet güvenliğine odaklanan yazılım aracı
Cisco güvenlik temeli: Ağ ve ağ cihazı güvenlik kontrollerine odaklanan satıcı önerisi
Nortel temel güvenliği: Ağ operatörlerine odaklanan gereksinimler ve en iyi uygulamalar kümesi
ISO / IEC 13335-3, risk yönetimi için temel bir yaklaşım tanımlar. Bu standardın yerini ISO / IEC 27005, ancak temel yaklaşım henüz 2700x serisine dahil edilmedi.
Kuruluşlar için çok sayıda dahili temel güvenlik politikası vardır,^[2]^[3]
Alman BSI, aşağıdakilerle uyumlu kapsamlı bir temel güvenlik standardına sahiptir: ISO / IEC 27000 serisi^[4]

BSI BT temel koruması

Bir BT temel koruma konseptinin temeli, başlangıçta ayrıntılı bir risk analizi değildir. Genel tehlikelerden kaynaklanır. Sonuç olarak, hasar kapsamına ve meydana gelme olasılığına göre sofistike sınıflandırma ihmal edilmektedir. Üç koruma ihtiyacı kategorisi oluşturulmuştur. Onların yardımıyla, araştırılan nesnenin koruma ihtiyaçları belirlenebilir. Bunlara dayanarak, BT Temel Koruma Kataloglarından uygun personel, teknik, organizasyonel ve altyapısal güvenlik önlemleri seçilir.

Federal Bilgi Teknolojisinde Güvenlik Ofisi BT Temel Koruma Katalogları, normal koruma seviyesi için bir "yemek kitabı tarifi" sunar. Gerçekleşme olasılığı ve olası hasar boyutlarının yanı sıra uygulama maliyetleri de dikkate alınır. Temel Koruma Katalogları kullanılarak, başlangıçta genel tehlikeler üzerinde çalışıldığından, uzman bilgisi gerektiren maliyetli güvenlik analizlerinden vazgeçilir. Meslekten olmayan kişinin alınacak önlemleri belirlemesi ve bunları profesyonellerle işbirliği içinde uygulaması mümkündür.

BSI, temel korumanın başarılı bir şekilde uygulanmasının teyidi olarak bir temel koruma sertifikası verir. 1. ve 2. aşamalarda, bu öz beyana dayanır. 3. aşamada, bağımsız, BSI lisanslı denetçi bir denetimi tamamlar. Sertifikasyon süreci uluslararasılaştırma 2006'dan beri mümkündür. ISO / IEC 27001 sertifikasyon, BT temel koruma sertifikasıyla aynı anda gerçekleştirilebilir. (ISO / IEC 27001 standardı, BS 7799-2 ). Bu süreç yeni BSI güvenlik standartları. Bu süreç, bir süredir geçerli olan bir geliştirme fiyatı taşır. Kendilerini, BS 7799-2 standart, bir risk değerlendirmesi. Daha rahat hale getirmek için çoğu koruma ihtiyaçları analizi BT Temel Koruma Kataloglarına göre. Avantaj sadece katı kurallara uymak değil BSI ama aynı zamanda BS 7799-2 sertifika. Bunun ötesinde BSI, politika şablonu ve politika şablonu gibi birkaç yardım GSTOOL.

Bir veri koruması Alman ile işbirliği içinde üretilen bileşen mevcuttur Veri Koruma ve Bilgi Edinme Özgürlüğü Federal Komiseri ve eyalet veri koruma yetkilileri ve BT Temel Koruma Kataloğu'na entegre edildi. Ancak bu bileşen sertifikasyon sürecinde dikkate alınmaz.

Temel koruma süreci

Aşağıdaki adımlar, temel koruma sürecine uygun olarak atılır. yapı analizi ve koruma ihtiyaçları analizi:

BT ağı tanımlanmıştır.
BT yapı analizi yapılır.
Koruma ihtiyaçları tespiti yapılır.
Temel bir güvenlik kontrolü yapılır.
BT temel koruma önlemleri uygulanır.

Oluşturma aşağıdaki adımlarda gerçekleşir:

O yapı analizi (anket)
Değerlendirilmesi koruma ihtiyaçları
Eylemlerin seçimi
Nominal ve gerçek karşılaştırması çalıştırılıyor.

BT yapı analizi

Bir BT ağı aşağıdakilerin toplamını içerir: altyapısal belirli bir görevin yerine getirilmesine hizmet eden organizasyonel, personel ve teknik bileşenler bilgi işlem uygulama alanı. Böylece bir BT ağı, bir kurumun veya bireysel bölümün tüm BT karakterini kapsayabilir; bu, organizasyon yapıları tarafından örneğin bir departman ağı veya paylaşılan BT uygulamaları örneğin bir personel bilgi sistemi. Bir BT güvenlik konsepti oluşturmak ve özellikle BT Temel Koruma Kataloglarını uygulamak için söz konusu bilgi teknolojik yapısını analiz etmek ve belgelemek gerekir. Günümüzün genellikle yoğun şekilde ağa bağlı BT sistemleri nedeniyle, ağ topolojisi planı analiz için bir başlangıç noktası sunar. Aşağıdaki hususlar dikkate alınmalıdır:

Müsait altyapı,
BT ağı için organizasyonel ve personel çerçevesi,
Ağ bağlantılı ve ağa bağlı olmayan BT sistemleri BT ağında kullanılır.
IT sistemleri arasında ve harici olarak iletişim bağlantıları,
BT uygulamaları, BT ağı içinde çalışır.

Koruma belirlenmesi gerekiyor

Koruma ihtiyaçlarının belirlenmesinin amacı, kullanımda olan bilgi ve bilgi teknolojisi için hangi korumanın yeterli ve uygun olduğunu araştırmaktır.Bu bağlamda, gizlilik, bütünlük veya gizlilik ihlalinden kaynaklanabilecek her bir uygulamanın ve işlenen bilginin zarar görmesi. kullanılabilirlik, kabul edilir. Bu bağlamda önemli olan, olası takip hasarlarının gerçekçi bir değerlendirmesidir. "Düşük ila orta", "yüksek" ve "çok yüksek" olmak üzere üç koruma ihtiyacı kategorisine bölünme, değerli olduğunu kanıtlamıştır. "Kamuya açık", "dahili" ve "gizli" genellikle gizlilik için kullanılır.

Modelleme

Yoğun bir ağa sahip BT sistemleri, bugünlerde genellikle devlet ve iş dünyasında bilgi teknolojisini karakterize ediyor. Bu nedenle, kural olarak, bir BT güvenlik analizi ve konsepti kapsamında yalnızca bireysel sistemleri değil, tüm BT sistemini dikkate almak avantajlıdır. Bu görevi yönetebilmek için, tüm BT sistemini mantıksal olarak parçalara ayırmak ve her bir parçayı veya hatta bir BT ağını ayrı ayrı ele almak mantıklıdır. Yapısıyla ilgili ayrıntılı dokümantasyon, BT Temel Koruma Kataloglarının bir BT ağında kullanılması için ön koşuldur. Bu, örneğin yukarıda açıklanan BT yapı analizi yoluyla elde edilebilir. BT Temel Koruma Kataloğunun bileşenleri nihayetinde bir modelleme adımında söz konusu BT ağının bileşenlerine eşlenmelidir.

Temel güvenlik kontrolü

Temel güvenlik kontrolü, mevcut BT güvenlik düzeyine hızlı bir genel bakış sunan kurumsal bir araçtır. Görüşmelerin yardımıyla, BT Temel Koruma Kataloglarından uygulanan güvenlik önlemlerinin sayısına göre mevcut bir BT ağının durumu (BT temel koruması ile modellenen) incelenir. Sonuç, her ilgili önlem için "vazgeçilebilir", "evet", "kısmen" veya "hayır" uygulama durumunun girildiği bir katalogdur. Henüz uygulanmamış veya yalnızca kısmen uygulanan önlemlerin tanımlanmasıyla, söz konusu bilgi teknolojisinin güvenliği için iyileştirme seçenekleri vurgulanmaktadır.

Temel güvenlik kontrolü, hala eksik olan önlemler hakkında bilgi verir (nominal ve gerçek karşılaştırma). Bundan, güvenlik yoluyla temel koruma sağlamak için yapılması gerekenleri takip eder. Bu temel kontrol tarafından önerilen tüm önlemlerin uygulanmasına gerek yoktur. Tuhaflıklar dikkate alınmalıdır! Daha az koruma ihtiyacı olan bir sunucuda az çok önemsiz birkaç uygulama çalışıyor olabilir. Bununla birlikte, bütünsel olarak, bu uygulamalara daha yüksek bir koruma seviyesi sağlanacaktır. Buna (birikim etkisi ).

Bir sunucuda çalışan uygulamalar, koruma ihtiyacını belirler. Bir BT sisteminde birkaç BT uygulaması çalışabilir. Bu gerçekleştiğinde, en büyük koruma ihtiyacı olan uygulama BT sisteminin koruma kategorisini belirler.

Tersine, büyük koruma ihtiyaçları olan bir BT uygulamasının bunu otomatik olarak BT sistemine aktarmayacağı düşünülebilir. Bunun nedeni BT sisteminin yedekli olarak yapılandırılması veya yalnızca önemsiz bir parçanın üzerinde çalışması olabilir. Buna (dağıtım etkisi ). Örneğin kümelerde durum böyledir.

Temel güvenlik kontrolü, temel koruma önlemlerini eşler. Bu seviye, düşük ila orta koruma ihtiyaçları için yeterlidir. Bu, BSI tahminlerine göre tüm BT sistemlerinin yaklaşık% 80'ini oluşturur. Yüksek ila çok yüksek koruma ihtiyacı olan sistemler için, örneğin risk analizine dayalı bilgi güvenliği konseptleri ISO / IEC 27000 serisi standartlar genellikle kullanılır.

BT Temel Koruma Kataloğu ve standartları

BT Temel Koruma Kataloglarının 2005'te yeniden yapılandırılması ve genişletilmesi sırasında BSI, metodolojiyi BT Temel Koruma Kataloğundan ayırdı. BSI 100-1, BSI 100-2, ve BSI 100-3 standartlar, bir bilgi güvenliği yönetim sistemi (BGYS), metodoloji veya temel koruma yaklaşımı ve tamamlanmış bir temel koruma araştırmasına dayalı olarak yükseltilmiş ve çok yüksek koruma ihtiyaçları için bir güvenlik analizinin oluşturulması.

BSI 100-4 "Acil durum yönetimi" standardı şu anda hazırlık aşamasındadır. Öğelerini içerir BS 25999, ITIL Hizmet Sürekliliği Yönetimi, ilgili BT Temel Koruma Kataloğu bileşenleriyle birleştirilmiş ve uygunluk için temel hususlar iş sürekliliği yönetimi (BCM). Bu standartların uygulanması, sertifika şuna göre mümkündür BS 25999 -2. BSI, BSI 100-4 standartları tasarımını çevrimiçi yorum için sunmuştur.^[5]

BSI, standartlarını aşağıdaki gibi uluslararası normlara uygun hale getirir: ISO / IEC 27001 Bu taraftan.

Edebiyat

BSI:BT Temel Koruma Yönergeleri (pdf, 420 kB)
BSI: BT Temel Koruma Kataloğu 2007 (pdf)
BSI: BSI BT Güvenlik Yönetimi ve BT Temel Koruma Standartları
Frederik Humpert: IT-Grundschutz umsetzen mit GSTOOL. Anleitungen und Praxistipps für den erfolgreichen Einsatz des BSI-Standards, Carl Hanser Verlag München, 2005. (ISBN 3-446-22984-1)
Norbert Pohlmann, Hartmut Blumberg: Der IT-Sicherheitsleitfaden. Das Pflichtenheft zur Implementierung von IT-Sicherheitsstandards im Unternehmen, ISBN 3-8266-0940-9

Referanslar

^ "IT-Grundschutz". bsi.bund.de. BSI. Alındı 29 Kasım 2013.
^ "Departman Temel Güvenlik Politikası ve Son Kullanıcı Anlaşması" (PDF). Purdue Üniversitesi. Alındı 17 Aralık 2009.^{[kalıcı ölü bağlantı ]}
^ "Bilgi Sistemleri için D16 Temel Güvenlik Gereksinimleri". Kent Polisi. Arşivlenen orijinal 15 Aralık 2009'da. Alındı 17 Aralık 2009.
^ "ISO 27000'i temel güvenlik ile eşleştirme" (PDF). BSI. Alındı 17 Aralık 2009.
^ Entwurf BSI 100-4^{[kalıcı ölü bağlantı ]} (pdf)

Dış bağlantılar

[1] "IT-Grundschutz". bsi.bund.de. BSI. Alındı 29 Kasım 2013.

[purdue-university-2] "Departman Temel Güvenlik Politikası ve Son Kullanıcı Anlaşması" (PDF). Purdue Üniversitesi. Alındı 17 Aralık 2009.^{[kalıcı ölü bağlantı ]}

[kent-police-3] "Bilgi Sistemleri için D16 Temel Güvenlik Gereksinimleri". Kent Polisi. Arşivlenen orijinal 15 Aralık 2009'da. Alındı 17 Aralık 2009.

[iso27000-gs-4] "ISO 27000'i temel güvenlik ile eşleştirme" (PDF). BSI. Alındı 17 Aralık 2009.

[5] Entwurf BSI 100-4^{[kalıcı ölü bağlantı ]} (pdf)

[1]

[2]

[3]

[4]

[5]