IT-Grundschutz. Update Kompendium 2020 auf 2021

# 2.902

Update IT-Grundschutz-Kompendium 2020 auf 2021

Stand: 20210606

In opus i ist dieses umfangreiche Update, 2020 auf 2021, zum IT-Grundschutz vollständig wie in “Änderungsdokumente zur Edition 2021” (hier) beschrieben, enthalten:

im Update enthalten bedeutet: enthalten
Z bedeutet: opus i visualisiert zertifizierungsrelevante Änderungen

Spezielle Hinweise zur Verschiebung von CON.4 auf APP.6 hier

Ergänzende Hinweise:

im Update enthalten  Neue Bausteine in den Meta-Daten vollständig enthalten. CON.10 Entwicklung von Webanwendungen
     sowie INF.11 Allgemeines Fahrzeug.

im Update enthalten  Die Kreuzreferenztabellen sind aktualisiert.

im Update enthalten  Die Rollen sind aktualisiert.

im Update enthalten  Die Zuordnungsvorschriften, -Erläuterungen und -Fragen sind aktualisiert.

im Update enthalten  Die Umsetzungsreihenfolgen sind aktualisiert.

im Update enthalten  Umfangreiche Änderungen mit Auswirkungen auf die Zertifizierung werden durch opus i gekennzeichnet
         ( Optische Darstellung = Z )  und können in den opus i - Dialogen per Mausklick (auf dieses “Z”) auf der
         einzelnen Anforderung eingesehen werden. Die Option IT-Grundschutz, Nummer 1 muss aktiviert sein.

im Update enthalten  Die zusätzlichen Änderungen der “Errata zum IT-Grundschutz-Kompendium 2021” sind eingeflossen (hier).

Freitexte, die untersucht und bei Bedarf geändert werden:

Die Umsetzungsbeschreibungen

Umsetzungsbeschreibung zur Anforderung



Die Risikoanalyse nach 200-3 (Grafiken sind verkleinert dargestellt)

zusätzliche Risikoanalyse nach 200-3, Schritt 1 und 2.




zusätzliche Risikoanalyse nach 200-3, Schritt 3. 




Weitere Anpassungen in den Bewegungsdaten (!)

Bei IT-Grundschutz-VERSCHIEBUNGEN

1. Objektnamen werden untersucht und angepasst
2. Die Kurzbezeichnung im Objekt “Eigene Maßnahme” wird untersucht und angepasst
3. Die Kurzbezeichnung im Objekt “Eigene Gefahr” wird untersucht und angepasst
4. Die BSI-Nr im Objekt “Mini-Task” wird untersucht und angepasst
5. Die Wiedervorlage einer Anforderung  wird untersucht und angepasst

Bei IT-Grundschutz-LÖSCHUNGEN (Beispiel aus dem Updatebeschreibung 2020 übernommen:  OPS.1.2.3.A14 ist entfallen)

1. Objektnamen werden untersucht und angepasst.
    Das Wort “entfallen” wird angehängt: OPS.1.2.3.A14entfallen
2. Die Kurzbezeichnung im Objekt “Eigene Maßnahme” wird untersucht und angepasst.
    Das Wort “entfallen” wird angehängt: OPS.1.2.3.A14entf (*)
3. Die Kurzbezeichnung im Objekt “Eigene Gefahr” wird untersucht und angepasst
    Das Wort “entfallen” wird angehängt: OPS.1.2.3.A14entf
4. Die BSI-Nr im Objekt “Mini-Task” wird untersucht und angepasst.
    Das Wort “entfallen” wird angehängt: OPS.1.2.3.A14entf
5. Die Wiedervorlage einer Anforderung  wird untersucht und gelöscht

(*) In Datenfeldern, die nur 20 Zeichen akzeptieren, könnte es dann so aussehen, wie oben unter 2. bis 4. dargestellt.

Erläuterungen zum maschinellen, vollständigen und automatischen Kompendium-Update:

Wird das Update vom Anwender angestoßen, werden die anstehenden HINZUFÜGUNGEN, UMBENENNUNGEN, VERSCHIEBUNGEN des Kompendium-Updates 2020 auf 2021  in Tabellenform gezeigt und ZWINGEND verarbeitet, damit keine Inkonsistenzen zwischen Meta- und Bewegungsdaten auftreten.

Entfallene Anforderungen zu VERSCHIEBUNGEN, die vom BSI auch weiterhin mitgeführt werden, werden in den aktualisierten Datenbestand sowohl in den Meta-, als auch in den Bewegungsdaten, weitergeführt.

Entfallene Anforderungen zu VERSCHIEBUNGEN, die vom BSI  NICHT weiter mitgeführt werden, werden in den aktualisierten Datenbestand sowohl in den Meta-, als auch in den Bewegungsdaten,  NICHT  weitergeführt.
 
Wird nicht jede gezeigte und anstehende Änderung verarbeitet, wird automatisch der komplette frühere Datenbestand zu Meta- und Bewegungsdaten zurückgespielt. Dies gilt auch dann, wenn das Update OHNE jegliche Verarbeitung vom Anwender abgebrochen wird.

Nach erfolgreichem Update des Datenbestandes werden

a) den Zielobjekten hinzugefügte Anforderungen in “eigene Notizen” zur ständigen Einsichtnahme
    bereitgehalten:  Menüband (Ribbon) START/EIGENE NOTIZEN  und

b) die durchgeführten Änderungen in der Exceldatei
    “_Update_Kompendium_2020_auf_2021_am_JJJJ-MM-TT_hh-mm” dokumentiert.
    Diese Exceldatei wird automatisch im opus i Installationsverzeichnis hinterlegt.

Unter “Meta-Daten” verstehen wir alle Daten des Kompendiums.
Unter “Bewegungsdaten” verstehen wir die vom Anwender eingepflegten Daten in das IT-Sicherheitskonzept, also in den opus i Datenbestand.

Folgende NEUE Anforderungen fügt opus i beim Update in Ihre Dokumentation der Bewegungsdaten ein, wenn Sie den entsprechenden Baustein bei einem Zielobjekt zugeordnet haben:

ORP.1.A15 Ansprechpartner zu Sicherheitsfragen (Basis-Anforderung)
ORP.1.A16 Mitarbeiterrichtlinie zur sicheren IT-Nutzung (Standard-Anforderung)

ORP.2.A14 Aufgaben und Zuständigkeiten von Mitarbeitern: Neue Basisanforderung.
ORP.2.A15 Auswahl von Personal nach Qualifikation: Neue Basisanforderung.

ORP.4.A24 Vier-Augen-Prinzip für administrative Tätigkeiten: Diese Anforderung wurde neu in den Baustein aufgenommen.

CON.6.A12 Mindestanforderungen an Verfahren zur Löschung und Vernichtung: Neue Anforderungen an konkrete Verfahren zum Löschen und Vernichten.
CON.6.A13 Vernichtung digitaler Datenträger bei fehlender Möglichkeit zur sicheren Löschung: Neue Anforderung zur Behandlung von defekten Datenträgern.
CON.6.A14 Vernichten von Datenträgern auf erhöhter Sicherheitsstufe: Neue Anforderung zur Regelung der Vernichtung von Datenträgern.

CON.8.A20 Überprüfung...
CON.8.A21 Bedrohungsmodellierung: Ergänzung der Bedrohungsmodellierung.
CON.8.A22 Sicherer Software-Entwurf: Ergänzung des sicheren Software-Entwurfs

CON.9.A9 Vertraulichkeitsvereinbarungen: Neue Anforderung für den erhöhten Schutzbedarf zum Abschließen von Vertraulichkeitsvereinbarungen.

OPS.1.1.3.A15 Regelmäßige Aktualisierung von IT-Systemen und Software: Neue Basisanforderung im Zuge der Konsolidierung. Regelmäßige Bewertung und Implementierung von Sicherheitskorrekturen.
OPS.1.1.3.A16 Regelmäßige Suche nach Informationen zu Patches und Schwachstellen: Neue Basisanforderung im Zuge der Konsolidierung. Regelmäßiges Suchen nach Informationen über Patches und Updates sowie der Umgang damit.

OPS.1.1.6.A15 Überprüfung der Installation und zugehörigen Dokumentation (S)
OPS.1.1.6.A16 Sicherheitsüberprüfung der Tester (H)

OPS.1.2.5.A25 Entkopplung der Fernwartung: Neue Standard-Anforderung zur Entkopplung der Netzmanagement-Kommunikation bei der Fernwartung.

APP.1.1.A17 Sensibilisierung zu spezifischen Office-Eigenschaften: Neue Anforderung zu spezifischen Sensibilisierungsinhalten.

APP.1.2.A13 Nutzung von DNS-over-HTTPS: Neue Basisanforderung zur Nutzung von DoH.
APP.1.4.A16: Mobile Application Management

SYS.1.1.A35 Erstellung und Pflege eines Betriebshandbuchs: Neue Standard-Anforderung zur Nutzung eines Betriebshandbuchs.
SYS.1.1.A36 Absicherung des Bootvorgangs: Neue Anforderung bei erhöhtem Schutzbedarf zur Verwendung von Secure Boot.

SYS.2.1.A42 Nutzung von Cloud- und Online-Funktionen: Diese Anforderung wurde aus SYS.2.3 Clients unter Linux und Unix übernommen.
SYS.2.1.A43 Lokale Sicherheitsrichtlinien für Clients: Diese Anforderung ist eine generalisierte Version der entfallenen Anforderung SYS.2.2.3.A7 Lokale Sicherheitsrichtlinien für Windows 10.
SYS.2.1.A44 Verwaltung der Sicherheitsrichtlinien von Clients: Diese Anforderung ist eine generalisierte Version der entfallenen, Windows-10-spezifischen SYS.2.2.3.A8 Zentrale Verwaltung der Sicherheitsrichtlinien von Clients.
SYS.2.1.A45 Erweiterte Protokollierung: Empfehlungen zur Protokollierung über Sicherheitsaspekte hinaus.

SYS.3.2.1.A31 Regelung zu Mobile-Payment
SYS.3.2.1.A32 MDM-Nutzung
SYS.3.2.1.A33 Konfiguration des verwendeten DNS-Servers
SYS.3.2.1.A34 Verwendung einer Firewall: Die Anforderung wurde aus dem Baustein SYS.3.2.4 Android hierher verschoben.

IND.1.A18 Protokollierung
IND.1.A19 Erstellung von Datensicherungen
IND.1.A20 Systemdokumentation
IND.1.A21 Dokumentation der Kommunikationsbeziehungen
IND.1.A22 Zentrale Systemprotokollierung und -überwachung
IND.1.A23 Aussonderung von ICS-Komponenten
IND.1.A24 Kommunikation im Störfall

NET.3.2.A32 Notfallvorsorge für die Firewall: Die Anforderung wurde analog zum Baustein NET.3.1 Router und Switches aufgenommen.

INF.1.A35 Perimeterschutz: Neue Anforderung für den erhöhten Schutzbedarf zum Perimeterschutz von Gebäuden.
INF.1.A36 Regelmäßige Aktualisierungen der Dokumentation: Neue Standardanforderung zur regelmäßigen Aktualisierung der Dokumentation von Gebäuden.

INF.9.A12 Nutzung eines Bildschirmschutzes

Warnung wichtiger Hinweis Welche Tätigkeiten verbleiben in der Verantwortung des Anwenders?

Der Anwender muss bei Bedarf  - nach dem durchgeführten Update -  die beiden neuen Bausteine

   “CON.10 Entwicklung von Webanwendungen” dem IT-Verbund zuordnen, wenn Webanwendungen entwickelt sowie
   “INF.11 Allgemeines Fahrzeug” jedem von der Institution eingesetztes Land-, Luft- und Wasserfahrzeug je einmal
   zuordnen.

Was wird protokolliert?

Wenn das Update vollständig durchgeführt wurde kann hier nachgeschaut werden, was im einzelnen an Ihrem Datenbestand verändert wurde. Das “Eigene Notizen” Fenster kann ständig geöffnet bleiben.

Protokoll in "Eigene Notizen"


Nachdem das Update-Fenster geschlossen wurde steht der Tabelleninhalt des Update-Fensters als Exceldatei im opus i Hauptverzeichnis.

Protokoll in einer Exceldatei



Spezielle Hinweise zur Verschiebung von CON.4 auf APP.6

In der Änderungsdokumentation des BSI wurde lediglich pauschal beschrieben, dass CON.4 auf APP.6 verschoben wurde. Angaben, wie die einzelnen Anforderungen zu verschieben sind, fehlen.
Deshalb hat kronsoft beide Bausteine in Eigenregie verglichen und die Verschiebungen wie dargestellt festgelegt und das BSI um Prüfung gebeten. Das BSI hat sich dann wie dargestellt geäußert.

Zusammenfassung: Im Prinzip sind unsere Verschiebungen/Neuanlagen korrekt.

ALT                 NEU                                Nachträgliche BSI-
                        lt. kronsoft                    Bestätigung
-----------------------------------------------------------------------------------
CON.4.A1      Entfallen                        Zum Teil in A3 und A4 eingeflossen
CON.4.A2      Entfallen                        Zum Teil in A4 eingeflossen
CON.4.A3      Entfallen                        Zum Teil in A5 eingeflossen
CON.4.A4      Entfallen                        Zum Teil in A1 eingeflossen
CON.4.A5      APP.6.A2                        korrekt
CON.4.A6      APP.6.A7                        korrekt
CON.4.A7      Entfallen                        korrekt
CON.4.A8      Entfallen                        Zum Teil in A9 eingeflossen
CON.4.A9      APP.6.A13                      korrekt
CON.4.A10    Entfallen                        korrekt
CON.4.A11    APP.6.A14                      korrekt
CON.4.A12    Entfallen                        Zum Teil in A6 eingeflossen
Neu sind anzulegen: APP.6.A1, A3, A4, A5, A6, A8, A9, A10, A11, A12.

 

Klicken für "home"
kronsoft3-mit-WZ

Bitte richten Sie Ihre Supportanfrage online an uns oder direkt aus opus i heraus über die implementierte Support-Mail-Funktion.
Sie erreichen uns zu normalen Bürozeiten unter der Telefonnummer +49  6858  6370
                                    
     kronsoft e.K.    Schillerstraße 10     66564 Ottweiler     Deutschland
                                                                    Datenschutzerklärung

ISO 27001 Control
ISO 27001 Eigene Control
ISO 27001 Eigene Control
Risikomatrix
Risikobewertung
Hilfe
Benutzer Ordner
Allgemeiner Ordner
ISO 27001 Ordner
ISO 14001 Ordner
ISO 9001 Ordner
Container
ISO 27001 Control
ISO 27001 Eigene Control
Verarbeitung des Verantwortlichen
Software
implementiert
teilweise implementiert
nicht implementiert
Prozessstruktur Startelement
Kernprozess
Managementprozess
Unterstuetzungsprozess
Verarbeitung des Dienstleisters
Organisationseinheit
IT-Verbund
Prozess
Fachaufgabe
Warnung
wichtiger Hinweis
ISO 27001 Ordner
ISO 27001 Control
ISO 27001 Eigene Control
ISO 27001 Eigene Control
Eigenschaft
rBenutzer
rMitarbeiter
rPerson
rMandant
rLKWZwei1616
rPKWZwei1616

Neu
20210506

VDA-ISA (TISAX) Ordner
VDA-ISA (TISAX) Control
VDA-ISA (TISAX) Eigene Control
BCM-Ordner
ICS-Startelement
Turtle-Objekt

www.kronsoft.de     Impressum     Datenschutzerklärung
Die Version der WEB-Seite ist  63   (2023-06-27)