IT-Grundschutz. Überführung 100 zu 200.

# 2.10-3

Überführungshinweise vom BSI Stand Dezember 2018

“Bei der Modernisierung des IT-Grundschutzes wurden die bereits vorhandenen Bausteine der IT-Grundschutz-Kataloge in die neue Form umgewandelt. Hierbei wurde für jeden migrierten Baustein eine sogenannte Migrationstabelle angelegt, welche die Zuordnung von Anforderungen (IT-Grundschutz-Kompendium) zu Sicherheitsmaßnahmen (IT-Grundschutz-Kataloge) abbildet. Mit diesen Migrationstabellen stellt das BSI umfangreiche Informationen zur Verfügung, um einen reibungslosen und effizienten Übergang zu ermöglichen.

Beim IT-Grundschutz-Check lässt sich anhand der Migrationstabellen zu jeder Anforderung leicht feststellen, welche bisherigen Maßnahmen dieser Anforderung entsprechen. Damit kann zumindest bei der Auswahl geeigneter Maßnahmen zur Erfüllung dieser Anforderung kontrolliert werden, welche bisherigen Maßnahmen hierzu korrespondieren. Es gibt jedoch oftmals keine 1:1-Beziehung zwischen (neuen) Anforderungen und (bisherigen) Maßnahmen, die eine direkte Übernahme gewährleisten würde. Die Migrationstabellen sind stets wie folgt aufgebaut: “

Stand: 20181202

Hinweis durch kronsoft: diese Migrationstabellen wurden in opus i übernommen.

“Bei der Anwendung sind die folgenden Rahmenbedingungen und Hinweise zu beachten:

• Alle Anforderungen werden gleichermaßen behandelt, da im Zweifelsfall eine Einzelprüfung erfolgen muss.

• Es ist nicht auszuschließen, dass neben den in den Migrationstabellen identifizierten Maßnahmen aus der 15. Ergänzungslieferung weitere Maßnahmen aus anderen Bausteinen passend wären.

• Sofern Anforderungen nicht mit Maßnahmen aus dem ursprünglichen Baustein abgedeckt werden können, werden mögliche Hinweise auf Maßnahmen anderer Bausteine gegeben. Diese sind als Hinweise zu verstehen und müssen manuell durch den Anwender kontrolliert werden.

• Zum Teil wurden bei der Modernisierung die ursprünglichen Maßnahmen bei der Überführung zu den Anforderungen zwar zum großen Teil inhaltlich übernommen, aber marginale Veränderungen (z.B. Verschärfungen) hinzugefügt. So deckt beispielsweise die Maßnahme M 2.322 Festlegen einer Sicherheitsrichtlinie für ein Client-Server-Netz aus dem gleichnamigen Baustein B 3.201 Allgemeiner Client die Anforderung SYS.2.1.A9 Festlegung einer Sicherheitsrichtlinie für Clients nahezu vollständig ab. Gleichwohl wurde diese ergänzt um die Dokumentationspflicht der regelmäßigen Umsetzungsüberprüfung: „Die Umsetzung der in der Richtlinie geforderten Inhalte SOLLTE regelmäßig überprüft werden. Die Ergebnisse SOLLTEN sinnvoll dokumentiert werden.“ In diesen Fällen wurde die Bewertung 3 vorgenommen mit einem entsprechenden Hinweis im Kommentarfeld.

Die Anwendung der Migrationstabellen soll durch drei Beispiele verdeutlicht werden.

Beispiel 1: Im Wesentlichen identische Bausteine

Es gibt Bausteine, die im Wesentlichen identisch übernommen wurden, beispielsweise NET.3.3 VPN. Der zugehörigen Migrationstabelle ist zu entnehmen, dass die Anforderungen des „neuen“ Bausteins NET.3.3 VPN im Wesentlichen durch den „alten“ Baustein B 4.4 VPN und B 1.1 Organisation erfüllt wurden. Sofern die Maßnahmen zuvor vollständig umgesetzt wurden, ist eine weitere Überarbeitung der Anforderung mit der Bewertung 1 nicht notwendig. Die Anforderung kann damit als umgesetzt gelten und der Text aus dem „alten“ Basis-Sicherheitscheck kann in den neuen IT-Grundschutz-Check übernommen werden. Die Anforderung NET.3.3.A3 Sichere Installation von VPN-Endgeräten wird nur vollständig unter Berücksichtigung von M 2.4 Regelungen für Wartungs- und Reparaturarbeiten aus dem Baustein B 1.1 Organisation umgesetzt, so dass hier auch davon ausgegangen werden kann, dass diese Anforderung umgesetzt ist. Eine Kontrolle ist hierbei aber notwendig.

Beispiel 2: Inhaltlich veränderte Bausteine

Es gibt Bausteine, die zwar identisch heißen, aber inhaltlich weitgehend überarbeitet wurden, beispielsweise SYS.2.3 Clients unter Unix.

Der zugehörigen Migrationstabelle ist zu entnehmen, dass eine Zuordnung zum alten Baustein B 3.204 Client unter Unix inhaltlich nur sehr rudimentär möglich ist, da der alte Baustein einen Stand von 2009 hatte. Sehr wenige Anforderungen können mit den alten Maßnahmen vollständig abgedeckt werden. Die Bewertung 3 für den Großteil der Anforderungen bedeutet allerdings nicht, dass diese pauschal noch zusätzlich beim Anwender umgesetzt werden müssen. Vielmehr bestand die konkrete Forderung nicht im bisherigen Baustein. So definiert beispielsweise SYS.2.3.A19 die Anforderung einer Festplattenverschlüsselung mittels bestimmter Methoden beziehungsweise Tools. Dieser Aspekt wurde in den Maßnahmen der 15. EL nicht in diesem Detailgrad betrachtet. Hier ist durch den Anwender unter Berücksichtigung der Hinweise zu möglichen Maßnahmen aus der 15. EL im Einzelfall zu prüfen, ob diese Anforderungen bereits umgesetzt sind.

Beispiel 3: Neue Bausteine

Schließlich gibt es vollkommen neue Bausteine, etwa APP.1.1 Office-Produkte oder SYS.3.2.2 Mobile Device Management (MDM). Hierfür sind keine Migrationstabellen vorgesehen. Es sollte allerdings überprüft werden, ob es für diese Themengebiete bisher benutzerdefinierte Bausteine gab. Diese sollten dann mit den neuen Bausteinen abgeglichen werden.
Auch weiter wird es Themenbereiche geben, die durch IT-Grundschutz-Bausteine nicht abgedeckt sind. Wenn dafür in der Institution benutzerdefinierte Bausteine entwickelt wurden, ist es sinnvoll, diese an das BSI weiterzugeben, damit diese hierüber der IT-Grundschutz-Community zur Verfügung gestellt werden können. Auf Wunsch anonymisiert das BSI solche Zulieferungen oder hebt die Autoren lobend hervor.

Hinweis: Die Migrationstabellen sind eine komplexe Arbeit, in der viele durchgeführte Änderungen abgebildet wurden. Trotz intensiver Qualitätssicherung können sich in diesen noch Fehler verstecken. Wenn Sie solche finden, informieren Sie uns bitte über die IT-Grundschutz-Hotline: grundschutz@bsi.bund.de. “

Klicken für "home"
kronsoft3-mit-WZ

Bitte richten Sie Ihre Supportanfrage online an uns oder direkt aus opus i heraus über die implementierte Support-Mail-Funktion.
Sie erreichen uns zu normalen Bürozeiten unter der Telefonnummer +49  6858  6370
                                    
     kronsoft e.K.    Schillerstraße 10     66564 Ottweiler     Deutschland                                                                    Datenschutzerklärung

ISO 27001 Control
ISO 27001 Eigene Control
ISO 27001 Eigene Control
Risikomatrix
Risikobewertung
Hilfe
Benutzer Ordner
Allgemeiner Ordner
ISO 27001 Ordner
ISO 14001 Ordner
ISO 9001 Ordner
Container
ISO 27001 Control
ISO 27001 Eigene Control
Verarbeitung des Verantwortlichen
Software
implementiert
teilweise implementiert
nicht implementiert
Prozessstruktur Startelement
Kernprozess
Managementprozess
Unterstuetzungsprozess
Verarbeitung des Dienstleisters
Organisationseinheit
IT-Verbund
Prozess
Fachaufgabe
Warnung
wichtiger Hinweis
ISO 27001 Ordner
ISO 27001 Control
ISO 27001 Eigene Control
ISO 27001 Eigene Control
Eigenschaft
rBenutzer
rMitarbeiter
rPerson
rMandant
rLKWZwei1616
rPKWZwei1616

Neu
20210506

VDA-ISA (TISAX) Ordner
VDA-ISA (TISAX) Control
VDA-ISA (TISAX) Eigene Control
BCM-Ordner
ICS-Startelement
Turtle-Objekt

www.kronsoft.de     Impressum     Datenschutzerklärung
Die Version der WEB-Seite ist  63   (2023-06-27)