با جمع بندی ، BSI در حال سازماندهی حمایت های اولیه فناوری اطلاعات است

با جمع بندی ، BSI در حال سازماندهی حمایت های اولیه فناوری اطلاعات است

نسخه به روز شده ای از IT-Grundschutz- سابق. کاتالوگ ها آخرین بار در سال 2016 منتشر شده اند. کمتر از دو سال بعد ، دفتر فدرال امنیت اطلاعات (BSI) كمیته IT-Grundschutz را معرفی كرد. در ادامه کاتالوگها ، BSI IT-Grundschutz را به همراه استانداردهای BSI منتشر می کند. مؤلفه های جداگانه این مجموعه به ده لایه تقسیم شده و با موضوعات مختلف امنیت اطلاعات – از برنامه های کاربردی گرفته تا فناوری اطلاعات صنعتی گرفته تا مدیریت امنیت – سروکار دارد. IT-Grundschutz Compendium به عنوان پایه آزمایش برای صدور گواهینامه مطابق با ISO 27001 مبتنی بر IT-Grundschutz انجام می شود.

Compendium پشتیبانی از امنیت اطلاعات را ارائه می دهد

دفتر فدرال امنیت اطلاعات چهار اسناد مرجع را در مورد استاندارد BSI نگه می دارد (200- 1 ، 200-2 ، 200-3 و 100-4). اینها به طور منظم از جمله تغییرات در وب سایت دفتر منتشر می شوند. افراد علاقه مند که مسئولیت امنیت سازمانی فناوری اطلاعات را دارند ، همچنین می توانند درمجموعه IT-Grundschutz در مورد خطرات و تهدیدات (IT) ارزش های شرکت اطلاعاتی کسب کنند. این مجموعه پشتیبانی کامل و یک کار مرجع ارزشمند را ارائه می دهد.

در فوریه 2018 ، BSI سه استاندارد خود را 200-1 (سیستم های مدیریت برای امنیت اطلاعات) ، 200-2 (روش IT-Grundschutz) و 200-3 (تجزیه و تحلیل ریسک) منتشر کرد. براساس IT-Grundschutz) به روزرسانی طولانی مدت سری 100 پیری. فقط نسخه اصلاح شده استاندارد 100-4 (مدیریت اضطراری) هنوز در انتظار است. روش IT-Grundschutz (200-2) معرف مرجع اصلی خانواده استاندارد است. این به حفاظت های اساسی ، هسته ای و استاندارد تقسیم می شود و رویه های مختلفی را برای سخت شدن و تضمین دارایی های حساس ("دارایی") فناوری اطلاعات توصیف می کند.

حفاظت استاندارد به پنج مرحله تقسیم می شود.

حفاظت اولیه تضمین می شود حفاظت گسترده و عمیق از داراییهای مربوط به فناوری اطلاعات. فقط محافظت هسته ای به اصطلاح "جواهرات تاج" از موسسه ای که از وضعیت محافظت ویژه ای برخوردار است ، تمرکز دارد. از آنجا که سیستم های کم اهمیت در اینجا نادیده گرفته می شوند ، فرد از حفاظت باریک و در عین حال عمیق سخن می گوید. حفاظت استاندارد هر دو نوع ذکر شده فوق را با هم ترکیب می کند ، زیرا دارای هر دو اثر محافظ گسترده و عمیق است.

به پنج مرحله مرتبط تقسیم می شود که باید به صورت پی در پی انجام شوند:

  1. تجزیه و تحلیل ساختاری: همه آنها در صورت امکان استفاده می شوند مقادیر جمع آوری شده.
  2. محافظت نیاز به تجزیه و تحلیل دارد: در اینجا تصمیم گرفته می شود كه ارزش ها و تا چه میزان محافظت شوند. بررسی محافظت اولیه: در طول چک ، یک تجزیه و تحلیل واقعی از سطح فعلی حفاظت از هر دارایی انجام می شود. در اینجا تصمیم گرفته شده است که چگونه می توان شکاف بین وضعیت واقعی و هدف را با استفاده از اقدامات تعیین شده بسته کرد.
  3. تجزیه و تحلیل ریسک: اگر مقداری که باید محافظت شود ، جزء استاندارد نیست (سرور ، مشتری ، تلفن ، …) خطرات و اقدامات متقابل مشخص را می توان از طریق تجزیه و تحلیل ریسک تعیین کرد.

تمام مراحل بطور تکراری برای یک سیستم مدیریت امنیت اطلاعات (ISMS) مطابق BSI 200-2 در کل طول عمر آن تکرار می شوند. تکرار مطابق مدل PDCA (برنامه ، انجام ، بررسی ، عمل) که به طور مکرر در عمل مورد استفاده قرار می گیرد ، باید صریحاً ذکر شود.

IT-Grundschutz Compendium با جزئیات

با به روزرسانی استانداردهای BSI برای سری 200 ، کاتالوگ های IT-Grundschutz که تاکنون مورد استفاده قرار گرفته اند ، توسط مجموعه مدرن تر IT-Grundschutz جایگزین شده اند. به گفته ایزابل مونچ ، رئیس واحد IT-Grundschutz و اتحاد برای امنیت سایبر ، این مرحله با ارائه ساده تر مجموعه اقدامات ، ساختار بهتری را ارائه می دهد.

علاوه بر این ، باید بیشتر روی فرآیندهای مدیریت ریسک تمرکز کند ، ضمن اینکه از سازگاری با ISO / استاندارد IEC 27001: 2013 حفظ شده است. IT-Grundschutz Compendium بیشتر به الزامات خاص کاربر می پردازد و همچنین IT صنعتی را محور اصلی صنعت امیدوار کننده 4.0 می داند.

این سند شامل سه بخش است: لیستی از تهدیدات ابتدایی ، مؤلفه ها و دستورالعمل های اجرای.

تهدیدات ابتدایی سه هدف اصلی حفاظت از امنیت فناوری اطلاعات را تهدید می کند: محرمانه بودن ، صداقت و در دسترس بودن. هر نوع بلایای طبیعی (آتش سوزی ، قله های ولتاژ / رعد و برق ، آسیب در آب و سیل ، …) یا حملات با هدف سرقت داده ها ، دستکاری و یا تخریب ، اثر تهدیدآمیزی دارد.

بلوک های ساختمانی به ده ماژول تقسیم می شود: پنج ماژول فرآیند گرا با مرجع مفهومی-سازمانی (ISMS ، ORP ، CON ، OPS ، DER) و پنج ماژول سیستم گرا با تمرکز فنی (APP، SYS، INT، NET، INF). ORP مخفف "سازمان و پرسنل" ، NET "شبکه و ارتباطات" است. در زیر ماژول ها ماژول های فردی شماره گذاری شده اند ، هر کدام یک دارایی را دارند که ارزش محافظت را دارد. یک مثال ماژول NET.3.2 است که به خطرات – و محافظت از فایروال ها می پردازد. (توجه داشته باشید که نقطه جداکننده بین نام ماژول و شماره سریال است.)

اطلاعات دقیق و مفصل در مورد اجرای اقدامات از ماژول ها در قسمت آخر سند ذکر شده است. در حال حاضر یک یادداشت اجرای مربوطه برای هر ماژول وجود ندارد. انتظار می رود که اینها به صورت پیاپی اضافه شوند.

ساختار ماژول های حفاظت اولیه

ساختار ماژول ها ، که بصورت منطقی در ده ماژول چیده شده اند ، برای هر ماژول تقریباً یکسان است. همه با مقدمه ای شروع می شوند که بلوک ساختمان را به صورت بتونی شرح می دهد. سپس هدف آن قبل از آنكه از دیگر بلوك های ساختمانی ، كه ممكن است مشخص تر باشد ، توجیه می شود.

پس از معرفی مختصر ، تهدیداتی مطرح می شود كه می تواند بر بلوك ساختمان تأثیر بگذارد. برای ماژول یاد شده NET.3.2 – فایروال ، اینها به عنوان مثال موارد زیر است: حملات DDoS (توزیع انکار سرویس) ، دستکاری ، آسیب پذیری های نرم افزاری یا خطاها ، دور زدن قوانین فایروال و تنظیمات نادرست و خطاهای عملیاتی.

خطرات بدون استثنا تهدیدات اساسی یا مترادف هستند. برای مثال "دستکاری" با "تغییر ناقص" یا "جعل" است. یک جدول مرجع متقابل وجود دارد که تمام ماژول ها را با تهدیدات ابتدایی که آنها را تهدید می کند ، پیوند می دهد.

سازگاری با ISO / IEC 27001: 2013 و گزینه های صدور گواهینامه خود را در فن آوری اطلاعات مستقر کرده اند. نماینده برجسته استاندارد ISO 27001 است ، که همچنین ساختار ISMS را توصیف می کند. با این حال ، ایزو 27001 عمومی تر است و آزادی بسیاری را برای طراحی فردی به کاربران می دهد. به جای یک جمع بندی کامل ، ضمیمه A آن فقط شامل 114 معیار است که در 14 گروه بندی قرار می گیرند. آنها همچنین عمداً عمومی نگه داشته می شوند و تفسیری کاملاً آزاد دارند. اندازه گیری روش های رمزنگاری به طور مثال: "اقدامات مربوط به رمزنگاری مربوطه برنامه ریزی و اجرا شده است."

محافظت اساسی BSI هنوز به شدت به سمت ISO 27001 گرایش یافته و می تواند به عنوان سهم اضافی آلمان در امنیت بین المللی فناوری اطلاعات شناخته شود. موسسات می توانند اقدامات امنیتی IT را كه مطابق با استاندارد اصلی ISO 27001 و "ISO 27001 مبتنی بر IT-Grundschutz" ارائه شده ، تأیید كنند.

نتیجه گیری: هنجارها و استانداردها از حمایت از ارزشهای IT پشتیبانی می كنند

هنجارها و معیارهای تعیین شده در هنگام محافظت از دارایی های فناوری اطلاعات در برابر انواع خطرات ، خود را به موسسات قرض می دهند. BSI آلمانی متدولوژی را ارائه می دهد که این وظیفه را انجام می دهد و بر اساس استاندارد بین المللی ISO 27001 شناخته شده یا آن را به صورت معنی دار تکمیل می کند.

روش تنظیم سیستم مدیریت امنیت اطلاعات در سند مرکزی BSI 200-2 شرح داده شده است. ، مرحله فرآیند "مدل سازی" اقدامات محافظ مناسب را به مقادیر تهدید شده اختصاص می دهد. IT-Grundschutz Compendium مجموعه ای کامل از چنین اقداماتی را نشان می دهد ، که از فوریه 2018 جایگزین کاتولوگ های نسبتاً گیج کننده IT-Grundschutz شده است.

دارایی های IT به "بلوک های ساختمانی" گفته می شود ، که از نظر منطقی به ده ماژول تقسیم می شوند. ، ساختار بلوک تقریباً یکسان است. علاوه بر یک مقدمه مختصر ، تهدیدات مربوط به این ماژول توضیح داده شده و اقدامات حفاظتی مناسبی نیز ارائه شده است.

این مجموعه توصیه های خاصی را برای اقدام در بخش "یادداشت های اجرای" ارائه می دهد ، اگرچه همه ماژول ها در حال حاضر تحت پوشش قرار نمی گیرند. با این حال ، این سند در معرض نگهداری مداوم و توسعه بیشتر است ، به گونه ای که در آینده به این نقص و همچنین به مقادیر جدید فناوری اطلاعات و تهدیدات آنها واکنش نشان خواهد داد.

قابلیت اطمینان و دقیق بودن BSI باعث می شود که 200 استاندارد و IT را ایجاد کنند. – مجموعه کاملاً محافظت از یک مرجع با ارزش برای کلیه افراد درگیر در امنیت فناوری اطلاعات ، به ویژه از آنجا که یک گواهینامه رسمی مطابق با این استاندارد قابل دستیابی است.

.